开源 jsonwebtoken (JWT) 库中披露了一个高危安全漏洞,如果被成功利用,可能会导致在目标服务器上远程执行代码。

22000多个项目使用的jsonwebtoken库中发现严重安全漏洞。据悉,通过利用此漏洞,攻击者可以在验证恶意制作的 JSON 网络令牌 (JWT) 请求的服务器上实现远程代码执行 (RCE)。该漏洞被跟踪为CVE-2022-23529(CVSS 分数:7.6),该问题会影响库的所有版本,包括8.5.1及以下版本,并已在2022年12月21日发布的9.0.0版中得到解决。报告了该缺陷由网络安全公司于2022年7月13日发布。