Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Fallo crítico de seguridad encontrado en "jsonwebtoken" Biblioteca utilizada por más de 22 000 proyectos
  • Tecnología

Fallo crítico de seguridad encontrado en "jsonwebtoken" Biblioteca utilizada por más de 22 000 proyectos

teknomers 10 de Ocak de 2023 (Last updated: 10 de Ocak de 2023) 3 minutes read
Fallo crítico de seguridad encontrado en "jsonwebtoken" Biblioteca utilizada por


10 de enero de 2023Ravie LakshmanánSeguridad de software / Cadena de suministro

Se ha revelado una falla de seguridad de alta gravedad en la biblioteca jsonwebtoken (JWT) de código abierto que, si se explota con éxito, podría conducir a la ejecución remota de código en un servidor de destino.

“Al explotar este vulnerabilidadlos atacantes podrían lograr la ejecución remota de código (RCE) en un servidor verificando una solicitud de token web JSON (JWT) creada con fines malintencionados”, dijo el investigador de la Unidad 42 de Palo Alto Networks, Artur Oleyarsh. dicho en un informe del lunes.

rastreado como CVE-2022-23529 (puntuación CVSS: 7.6), el problema afecta a todas las versiones de la biblioteca, incluida la 8.5.1 y anteriores, y se ha abordado en versión 9.0.0 enviado el 21 de diciembre de 2022. La falla fue reportada por la compañía de ciberseguridad el 13 de julio de 2022.

jsonwebtoken, que es desarrollado y mantenido by Okta’s Auth0, es un módulo de JavaScript que permite a los usuarios decodificar, verificar y generar tokens web JSON como un medio de transmisión segura de información entre dos partes para autorización y autenticación. ha terminado 10 millones de descargas semanales en el registro de software npm y se utiliza en más de 22 000 proyectos.

Por lo tanto, la capacidad de ejecutar código malicioso en un servidor podría romper las garantías de confidencialidad e integridad, lo que podría permitir que un mal actor sobrescriba archivos arbitrarios en el host y realice cualquier acción de su elección utilizando una clave secreta envenenada.

falla de seguridad de alta gravedad

“Dicho esto, para explotar la vulnerabilidad descrita en esta publicación y controlar el valor secretOrPublicKeyun atacante necesitará explotar una falla dentro del proceso de gestión de secretos”, explicó Oleyarsh.

A medida que el software de código abierto emerge cada vez más como una vía de acceso inicial lucrativa para que los actores de amenazas realicen ataques a la cadena de suministro, es crucial que los usuarios intermedios identifiquen, mitiguen y corrijan de manera proactiva las vulnerabilidades en dichas herramientas.

Lo que empeora las cosas es el hecho de que los ciberdelincuentes se han vuelto mucho más rápidos para explotar las fallas recientemente reveladas, reduciendo drásticamente el tiempo entre el lanzamiento de un parche y la disponibilidad de la explotación. Según Microsoft, solo se necesitan 14 días en promedio para que se detecte un exploit en la naturaleza después de la divulgación pública de un error.

Para combatir este problema del descubrimiento de vulnerabilidades, Google anunció el mes pasado el lanzamiento de OSV-Scanner, una utilidad de código abierto que tiene como objetivo identificar todas las dependencias transitivas de un proyecto y resaltar las deficiencias relevantes que lo afectan.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Las tiendas Makro ya han sido declaradas oficialmente en quiebra: se perderán unos 1.400 puestos de trabajo
Next: Los inversores europeos se están atrincherando por las preocupaciones sobre las tasas de interés

Related Stories

Este aspirador inalámbrico es perfecto para recoger pelos de animales
  • Tecnología

Este aspirador inalámbrico es perfecto para recoger pelos de animales y está disponible por 150€ menos.

teknomers 9 de Temmuz de 2026
¡Sorpresa! Netflix busca relanzar las pruebas gratuitas
  • Tecnología

¡Sorpresa! Netflix busca relanzar las pruebas gratuitas

teknomers 9 de Temmuz de 2026
Pass Ulys Classic, telepeaje con 12 meses gratis este verano
  • Tecnología

Pass Ulys Classic, telepeaje con 12 meses gratis este verano

teknomers 9 de Temmuz de 2026

You May Have Missed

  • Deporte

Francia-Marruecos (2-0): las calificaciones de los Bleus con Koné omnipresente y Dembélé decisivo

teknomers 9 de Temmuz de 2026
  • Cultura

«Tuve que guardar el secreto durante meses»: Alison Arngrim regresa en «La pequeña casa en la pradera»

teknomers 9 de Temmuz de 2026
  • General

La calificación crediticia de Harley-Davidson es rebajada a “basura” por S&P

teknomers 9 de Temmuz de 2026
  • Deporte

Copa del Mundo 2026: Erling Haaland de Noruega dice que la presión está sobre Inglaterra antes del cuartos de final

teknomers 9 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.