Kritische Schwachstelle in fast-jwt-Bibliothek: CVE-2026-34950

Zusammenfassung

Die Bibliothek fast-jwt, die für die effiziente Implementierung von JSON Web Tokens (JWT) verwendet wird, weist in Versionen bis 6.1.0 eine Sicherheitslücke auf. Das Problem liegt in der publicKeyPemMatcher-Regex in der crypto.js-Datei, die den Schlüsselstring nicht ordnungsgemäß validiert. Dies ermöglicht Angreifern Algorithmus-Verwirrungsangriffe auf JWTs, ähnlich wie in einer früheren CVE. Entwickler, die diese Bibliothek nutzen, müssen auf eine sicherere Version aktualisieren, um mögliche Ausnutzung zu verhindern.

Nearform - Fast-jwt - CRITICAL - CVE-2026-34950. The fast-jwt library, utilized for its efficient JSON Web Token (JWT) implementation, contains a vulnerability in versions up to 6.1.0. The issue resides within the publicKeyPemMatcher regex in the crypto.js file, which fails to properly validate the key string due to a ^ anchor being circumvented by any leading whitespace. This flaw reopens risks associated with JWT algorithm confusion attacks, similar to those previously addressed in another CVE. Developers using this library must update to a more secure version to mitigate potential exploitation.