概要
DSA Study Hub に おいて、JWT(JSON Web Token)認証 トークン の 暗号化 保護 が 不十分 な 脆弱性 が 存在 します。CWE-311(機密データの暗号化欠如)および CWE-522(認証情報の不十分な保護)に 分類 されます。
この 脆弱性 に より、攻撃者 は JWT トークン の 署名 検証 の 不備 を 突いて トークン を 偽造 し、他 の ユーザー と して 認証 を バイパス する こと が 可能 です。認証 済み ユーザー の セッション を 乗っ取る こと で、個人 データ の 窃取 や 不正 な 操作 が 行われる 恐れ が あります。
DSA Study Hub を 使用 して いる 環境 で は、速やか に 修正版 へ の アップデート を 推奨 します。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.1 |
| 深刻度 | High |
| CWE | CWE-311 (機密データの暗号化欠如) / CWE-522 (認証情報の不十分な保護) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| DSA Study Hub | DSA Study Hub | 全バージョン |
修正バージョンと回避策
- 修正バージョン: ベンダー から の 修正版 の 提供 を 確認 して ください
- 暫定回避策: JWT の 署名 アルゴリズム を HS256 以上 の 強度 に 変更、シークレット キー の ローテーション
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。