Informazioni sul CVE-2025-30144
Fast-JWT Improperly Validates iss Claims
CWE ID: CWE-345
Base Score (CVSS): N/A
CVE: CVE-2025-30144
Descrizione: “fast-jwt fornisce un’implementazione rapida di JSON Web Token (JWT). Prima della versione 5.0.6, la libreria fast-jwt non valida correttamente la claim ‘iss’ in base alla RFC 7519. La claim ‘iss’ (issuer) all’interno della libreria fast-jwt permette un array di stringhe come valore ‘iss’ valido. Questo design flaw consente un potenziale attacco in cui un attaccante malintenzionato crea un JWT con una claim ‘iss’ strutturata come [‘https://attacker-domain/’, ‘https://valid-iss’]. A causa della validazione permissiva, il JWT sarà considerato valido. Inoltre, se l’applicazione si affida a librerie esterne come get-jwks che non validano autonomamente la claim ‘iss’, l’attaccante può sfruttare questa vulnerabilità per creare un JWT che verrà accettato dall’applicazione del bersaglio. In sostanza, l’attaccante può inserire il proprio dominio nella claim ‘iss’, insieme al vero emittente, e aggirare le verifiche di sicurezza previste. Questo problema è stato corretto nella versione 5.0.6.”
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: Low, Integrità: High, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/nearform/fast-jwt/security/advisories/GHSA-gm45-q3v2-6cf8
- https://github.com/nearform/fast-jwt/commit/cc26b1d473f900446ad846f8f0b10eb1c0adcbdd
- https://datatracker.ietf.org/doc/html/rfc7519#page-9
Prodotti interessati
- nearform – fast-jwt
Relazioni con altri prodotti
Produttore:nearform
Prodotto: fast-jwt
Anno: 2025
CWE: CWE-345
CVSS: 0.0