> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-fix-docs-5528-php-updates.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2022-23539, CVE-2022-23541, CVE-2022-23540: Mise à jour de sécurité pour jsonwebtoken

> Décrit les mises à jour de sécurité CVE-2022-23539, CVE-2022-23541 et CVE-2022-23540 pour la bibliothèque de jetons Web JSON.

**Published** : 12 décembre 2022

**Numéros CVE** : CVE-2022-23539, CVE-2022-23541, CVE-2022-23540

### Présentation

Auth0 a publié une nouvelle version majeure de la bibliothèque `jsonwebtoken` pour répondre à quatre vulnérabilités.

Nous vous recommandons de consulter les avis de sécurité suivants et de mettre à niveau vers la nouvelle version majeure :

* Le type de clé non restreint pourrait entraîner l’utilisation de clés héritées : [CVE-2022-23539](https://github.com/auth0/node-jsonwebtoken/security/advisories/GHSA-8cf7-32gw-wr33)
* Une implémentation non sécurisée de la fonction de récupération des clés pourrait entraîner la falsification de jetons publics et privés de RSA vers HMAC : [CVE-2022-23541](https://github.com/auth0/node-jsonwebtoken/security/advisories/GHSA-hjrf-2m68-5959)
* Un algorithme par défaut non sécurisé dans <Tooltip href="/docs/fr-ca/glossary?term=json-web-token" tip="Jeton Web JSON (JWT)
  Format standard de jeton d’ID (et souvent de jeton d’accès) utilisé pour représenter en toute sécurité des demandes entre deux parties." cta="Voir le glossaire">jwt</Tooltip>.verify() pourrait entraîner un contournement de la validation de la signature : [CVE-2022-23540](https://github.com/auth0/node-jsonwebtoken/security/advisories/GHSA-qwph-4952-7xr6)

### Suis-je affecté?

Vous pourriez être affecté si vous utilisez `jsonwebtoken` dans n’importe quelle version `<= 8.5.1` selon la configuration. Veuillez consulter les avis de sécurité individuels pour plus de détails.

### Comment résoudre ce problème?

Si vous utilisez `jsonwebtoken`, mettez à jour vers la version 9.0.0 ou supérieure. Vous pourriez avoir besoin d’une configuration supplémentaire. Veuillez consulter les avis de sécurité individuels pour plus de détails.

### Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

La mise à jour vers la version 9.0.0 peut avoir un impact sur vos utilisateurs en fonction de votre configuration et des besoins de l’application. Veuillez consulter les avis de sécurité individuels pour plus de détails.
