Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a la librería
node-jsonwebtoken (JWT), que permitiría a un atacante realizar ejecución remota de código
(RCE) en el sistema afectado. Actualmente existe una prueba de concepto (PoC) pública.
El producto afectado es:
- node-jsonwebtoken, versión 8.5.1 y anteriores.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2023/01/BOL-CERT-PY-2023-02-Vulnerabilidad-de-ejecucion-remota-de-codigo-RCE-en-libreria-JsonWebToken-JWT.pdf
- https://securityaffairs.com/140596/hacking/jsonwebtoken-library-rce.html
- https://www.bleepingcomputer.com/news/security/auth0-fixes-rce-flaw-in-jsonwebtoken-library-used-by-22-000-projects/
- https://nvd.nist.gov/vuln/detail/CVE-2022-23529
- https://github.com/auth0/node-jsonwebtoken/releases/tag/v9.0.0