概要
Node.js 向け JWT ライブラリ「fast-jwt」において、非同期キーリゾルバ(async key resolver)が空文字列の HMAC シークレットを有効な鍵として受け入れてしまう脆弱性が発見されました。
攻撃者は空のシークレットで署名した JWT トークンを送信することで、正規の認証プロセスをバイパスし、任意のユーザーとしてシステムにアクセスできる可能性があります。fast-jwt は npm で広く利用されている認証基盤ライブラリであり、影響範囲は広範です。
本脆弱性は GHSA-gmvf-9v4p-v8jc として 2026年5月6日に公開されました。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.1 |
| 深刻度 | Critical |
| CWE | CWE-287 (不適切な認証) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| fast-jwt | npm | < 6.2.4 |
修正バージョンと回避策
- 修正バージョン: fast-jwt 6.2.4 以降へアップデート
- 暫定回避策: 非同期キーリゾルバを使用している場合、リゾルバ内で返却する鍵が空文字列でないことを明示的に検証するバリデーションを追加する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。