Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-11266

Опубликовано: 30 сент. 2020
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость библиотеки для работы с JSON Web Tokens (JWT) jwt-go связана с нарушением процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить привилегии

Вендор

Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО "НППКТ"
Red Hat Inc.
JSON Object Signing and Encryption

Наименование ПО

openSUSE Tumbleweed
Debian GNU/Linux
РЕД ОС
ОСОН ОСнова Оnyx
Cryostat
Jwt-go
OpenShift Serverless

Версия ПО

- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
до 2.7 (ОСОН ОСнова Оnyx)
2 on RHEL 8 (Cryostat)
до 3.2.0 (Jwt-go)
1.13 (OpenShift Serverless)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Jwt-go:
https://github.com/dgrijalva/jwt-go/pull/426
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-26160
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-26160
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-26160.html
Обновление программного обеспечения golang-github-dgrijalva-jwt-go до версии 3.2.0-3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 16%
0.0005
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250822-09

CVSS3: 7.5
redos
5 месяцев назад

Уязвимость stolon

ubuntu логотип

CVE-2020-26160

CVSS3: 7.5
ubuntu
больше 5 лет назад

jwt-go before 4.0.0-preview1 allows attackers to bypass intended access restrictions in situations with []string{} for m["aud"] (which is allowed by the specification). Because the type assertion fails, "" is the value of aud. This is a security problem if the JWT token is presented to a service that lacks its own audience check.

redhat логотип

CVE-2020-26160

CVSS3: 7.5
redhat
больше 5 лет назад

jwt-go before 4.0.0-preview1 allows attackers to bypass intended access restrictions in situations with []string{} for m["aud"] (which is allowed by the specification). Because the type assertion fails, "" is the value of aud. This is a security problem if the JWT token is presented to a service that lacks its own audience check.

nvd логотип

CVE-2020-26160

CVSS3: 7.5
nvd
больше 5 лет назад

jwt-go before 4.0.0-preview1 allows attackers to bypass intended access restrictions in situations with []string{} for m["aud"] (which is allowed by the specification). Because the type assertion fails, "" is the value of aud. This is a security problem if the JWT token is presented to a service that lacks its own audience check.

msrc логотип

CVE-2020-26160

CVSS3: 7.5
msrc
больше 1 года назад

Описание отсутствует

EPSS

Процентиль: 16%
0.0005
Низкий

7.5 High

CVSS3

7.8 High

CVSS2