Auth0 memperbaiki kerentanan "remote code execution" di "JsonWebToken" sebuah open-source library yang sangat populer yang digunakan oleh lebih dari 22.000 proyek dan diunduh lebih dari 36 juta kali per bulan di NPM.

Library ini digunakan dalam proyek open-source yang dibuat oleh Microsoft, Twilio, Salesforce, Intuit, Box, IBM, Docusign, Slack, SAP, dan banyak lagi.

Kerentanan dilacak CVE-2022-23529 dan mempengaruhi versi JsonWebToken di bawah 9.0.0, yang dirilis pada 21 Desember, tepat sebelum liburan.

Proyek JsonWebToken adalah sebuah open-source library yang digunakan untuk membuat, menandatangani, dan memverifikasi token Web JSON.

"JSON Web Token (JWT) adalah "open standard (RFC 7519)" yang mendefinisikan cara yang ringkas dan mandiri untuk mentransmisikan informasi secara aman antar pihak sebagai objek JSON. Informasi ini dapat diverifikasi dan dipercaya karena ditandatangani secara digital", jelas situs jwt.io milik Auth0.

Proyek ini dikembangkan dan dikelola oleh Okta Auth0 dan memiliki lebih dari 9 juta unduhan mingguan di repositori paket NPM dan lebih dari 22.000 proyek di library, yang mencerminan adopsinya yang masif.

Eksploitasi CVE-2022-23529 yang berhasil dapat memungkinkan penyerang untuk melewati mekanisme otentikasi, mengakses informasi rahasia, dan mencuri atau memodifikasi data.

Namun, Unit 42 memperingatkan bahwa pelaku ancaman pertama-tama perlu mengkompromikan proses manajemen rahasia antara aplikasi dan server JsonWebToken, yang membuatnya menjadi lebih sulit untuk dieksploitasi dan menurunkan tingkat keparahan menjadi 7.6/10.

Sumber: Auth0 fixes RCE flaw in JsonWebToken library used by 22,000 projects (bleepingcomputer.com)