- 2015年6月29日
- その他脆弱性情報
PHPライブラリ「namshi/jose」に脆弱性
JSON Web Token (JWT) を扱うための PHP ライブラリである「namshi/jose」に脆弱性が発見されております。
脆弱性内容
JWT のヘッダの処理に起因する、トークンの署名を適切に検証しない脆弱性が存在します
該当バージョン
namshi/jose 2.2.1 およびそれ以前
namshi/jose 3.0.0 およびそれ以前
namshi/jose 4.0.0 およびそれ以前
namshi/jose 5.0.0 およびそれ以前
影響内容
第三者によって細工された JWT のデータを、正しく署名されたトークンとして扱ってしまう可能性があります
対策方法
最新版にアップデートする
それぞれ、2.2.2、3.0.1、4.0.1、5.0.1が現時点でリリースされております。
ご利用の方は是非バージョンをご確認の上、アップデートすることをお勧めします。
(参照リンク:GitHub「/jose」)