Sicherheitslücke in Open-Source-Projekt JsonWebToken

Palo Alto Networks hat ein schwerwiegende Sicherheitslücke im Open-Source-Projekt JsonWebToken entdeckt. Die Schwachstelle ist als kritisch bewertet, das Unbefugte unter Umständen aus der Ferne Schadcode einschleusen und auf einem Server ausführen können.

Die Anfälligkeit wurde bei der gezielten Suche nach Risiken in Open-Source-Projekten gefunden. Im zehnstufigen Common Vulnerability Scoring System (CVSS) ist die mit der Kennung CVE-2022-23529 versehene Lücke mit 7,6 Punkten bewertet. Ausnutzen lässt sich der Fehler mit einer speziell gestalteten Json-Web-Token-Anforderung.

Betroffen ist das JsonWebToken-Paket in der Version 8.5.1 oder früher. Nutzer sollten den verfügbaren Patch zeitnah einspielen und damit auf die Version 9.0.0 oder höher umsteigen.

Besonders schwerwiegend ist die Sicherheitslücke auch, weil das Open-Source-JavaScript-Paket benutzt wird, um Json Web Tokens zu verifizieren und zu signieren, die wiederum für Autorisierungs- und Authentifizierungszwecke verwendet werden. Laut Okta AuthO, das das Paket pflegt, wird es über neun Millionen Mal pro Woche heruntergeladen. Auf der JsonWebToken-Website ist zudem von mehr als 20.000 Abhängigkeiten die Rede.

„Open-Source-Projekte werden heute häufig als Rückgrat vieler Dienste und Plattformen genutzt. Dies gilt auch für die Implementierung sensibler Sicherheitsmechanismen wie JWTs, die eine große Rolle bei Authentifizierungs- und Autorisierungsprozessen spielen“, erklärte Palo Alto Networks. „Sicherheitsbewusstsein ist bei der Verwendung von Open-Source-Software von entscheidender Bedeutung. Die Überprüfung häufig verwendeter Open-Source-Sicherheitsimplementierungen ist notwendig, um ihre Zuverlässigkeit zu erhalten, und die Open-Source-Community kann sich daran beteiligen.“