CRITICAL✓ PATCH🇬🇧 English

CVE-2023-46943

Hardkodowany sekret HMAC w @evershop/evershop umożliwia fałszowanie tokenów JWT

CVSS 9.1v3.1pub. 2024-01-13upd. 2024-11-21

Pakiet NPM @evershop/evershop przed wersją 1.0.0-rc.8 zawiera hardkodowany sekret HMAC o wartości "secret", używany do generowania tokenów JWT. Atakujący może wykorzystać ten przewidywalny sekret do tworzenia własnych, prawidłowych tokenów JWT i uzyskania nieautoryzowanego dostępu do aplikacji.

Pokaż oryginał (EN)

An issue was discovered in NPM's package @evershop/evershop before version 1.0.0-rc.8. The HMAC secret used for generating tokens is hardcoded as "secret". A weak HMAC secret poses a risk because attackers can use the predictable secret to create valid JSON Web Tokens (JWTs), allowing them access to important information and actions within the application.

🤖 Analiza AI
Jak działa

Aplikacja używa stałej, wbudowanej na stałe w kod wartości "secret" jako klucza HMAC do podpisywania tokenów JWT. Ponieważ sekret jest jawnie znany i identyczny w każdej instalacji, atakujący bez żadnych uprawnień może samodzielnie wygenerować poprawnie podpisane tokeny JWT. Tokeny te zostaną zaakceptowane przez aplikację jako autentyczne, co pozwala atakującemu podszyć się pod dowolnego użytkownika lub uzyskać dostęp do chronionych zasobów i operacji.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji oraz wykonywać uprzywilejowane operacje w aplikacji poprzez fałszowanie prawidłowych tokenów JWT. Podatność zagraża zarówno poufności danych, jak i integralności systemu.

Mitygacja

Należy zaktualizować pakiet @evershop/evershop do wersji 1.0.0-rc.8 lub nowszej, w której sekret HMAC nie jest już hardkodowany. Dodatkowo zaleca się unieważnienie wszystkich dotychczas wystawionych tokenów JWT oraz wymuszenie ponownego uwierzytelnienia użytkowników po aktualizacji.

Kogo dotyczy

Pakiet NPM @evershop/evershop w wersjach przed 1.0.0-rc.8

Uwagi

Podatność została odkryta i zgłoszona przez Checkmarx, co wynika z adresów URL referencji wskazujących na ich serwis doradczy.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Evershop

    APP
    Evershop
    1.0.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-28213CRITICAL9.8PL ✓ten sam produkt

EverShop: token resetowania hasła ujawniany w odpowiedzi API

CVE-2026-25993CRITICAL9.3PL ✓ten sam produkt

Second-order SQL injection w EverShop podczas obsługi kategorii

CVE-2023-46498CRITICAL9.8PL ✓ten sam produkt

RCE i ujawnienie danych w EverShop NPM przez plik route.json

CVE-2025-67419HIGH7.5ten sam produkt

A Denial of Service (DoS) vulnerability in evershop 2.1.0 and prior allows unauthenticated attackers to exhaus...

CVE-2025-65844HIGH7.5ten sam produkt

EverShop 2.0.1 allows a remote unauthenticated attacker to upload arbitrary files and create directories via t...