Se ha revelado una falla de seguridad de alta gravedad en la biblioteca jsonwebtoken (JWT) de c\u00f3digo abierto que, si se explota con \u00e9xito, podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo en un servidor de destino.<\/p>\n
“Al explotar este vulnerabilidad<\/a>los atacantes podr\u00edan lograr la ejecuci\u00f3n remota de c\u00f3digo (RCE) en un servidor verificando una solicitud de token web JSON (JWT) creada con fines malintencionados”, dijo el investigador de la Unidad 42 de Palo Alto Networks, Artur Oleyarsh. dicho<\/a> en un informe del lunes.<\/p>\n rastreado como CVE-2022-23529<\/strong><\/a> (puntuaci\u00f3n CVSS: 7.6), el problema afecta a todas las versiones de la biblioteca, incluida la 8.5.1 y anteriores, y se ha abordado en versi\u00f3n 9.0.0<\/a> enviado el 21 de diciembre de 2022. La falla fue reportada por la compa\u00f1\u00eda de ciberseguridad el 13 de julio de 2022.<\/p>\n jsonwebtoken, que es desarrollado y mantenido<\/a> by Okta’s Auth0, es un m\u00f3dulo de JavaScript que permite a los usuarios decodificar, verificar y generar tokens web JSON como un medio de transmisi\u00f3n segura de informaci\u00f3n entre dos partes para autorizaci\u00f3n y autenticaci\u00f3n. ha terminado 10 millones de descargas semanales<\/a> en el registro de software npm y se utiliza en m\u00e1s de 22 000 proyectos.<\/p>\n Por lo tanto, la capacidad de ejecutar c\u00f3digo malicioso en un servidor podr\u00eda romper las garant\u00edas de confidencialidad e integridad, lo que podr\u00eda permitir que un mal actor sobrescriba archivos arbitrarios en el host y realice cualquier acci\u00f3n de su elecci\u00f3n utilizando una clave secreta envenenada.<\/p>\n![\"falla](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1673347536_362_Fallo-critico-de-seguridad-encontrado-en-quotjsonwebtokenquot-Biblioteca-utilizada-por.png\" "\\"falla")
<\/div>\n