개요
python-jwt 패키지에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
python-jwt 패키지 3.3.4 이전의 버전
해결된 취약점
python-jwt 패키지 발생하는 JWT 내용을 조작으로 인한 공격자가 다른 사용자로 위장하거나 인증 우회 등의 공격을 허용할 수 있는 취약점 (CVE-2022-39227)
취약점 패치
2022년 9월 1일 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 내용에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
python-jwt 패키지 3.3.4 버전
참고 사이트
[1] CVE-2022-39227 Detail
https://nvd.nist.gov/vuln/detail/CVE-2022-39227
[2] Token forgery with new claims
https://github.com/davedoesdev/python-jwt/security/advisories/GHSA-5p8v-58qm-c7fp
[3] FIX VULNERABILITY
https://github.com/davedoesdev/python-jwt/commit/88ad9e67c53aa5f7c43ec4aa52ed34b7930068c9
[4] PYSEC-2022-259 now has a CVE assigned (#101)
https://github.com/pypa/advisory-database/blob/main/vulns/python-jwt/PYSEC-2022-259.yaml