> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-fix-docs-5528-php-updates.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2020-15084 : Mise à jour de sécurité pour la bibliothèque express-jwt

> CVE-2020-15084 : Mise à jour de sécurité pour la bibliothèque Express-jwt

**Date de publication** : 30 juin 2020

**Numéro CVE** : CVE-2020-15084

**Crédit**: IST Group

## Présentation

Dans les versions antérieures (dont 5.3.3), la saisie d’ **algorithmes** n’était pas obligatoire dans la configuration.

Lorsque les **algorithmes** ne sont pas spécifiés dans la configuration, et que l’on utilise jwks-rsa ou d'autres bibliothèques cryptographiques asymétriques, cela peut aboutir à un contournement de l’autorisation.

## Cela me concerne-t-il?

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :

* vous utilisez express-<Tooltip href="/docs/fr-ca/glossary?term=json-web-token" tip="Jeton Web JSON (JWT)
  Format standard de jeton d’ID (et souvent de jeton d’accès) utilisé pour représenter en toute sécurité des demandes entre deux parties." cta="Voir le glossaire">jwt</Tooltip>, ET
* vous n’avez pas spécifié d’ **algorithmes** dans la configuration de express-jwt, ET
* vous utilisez des bibliothèques comme jwks-rsa en tant que **secret**.

## Comment résoudre ce problème?

Spécifiez des **algorithmes** dans la configuration de express-jwt. Voici un exemple d’une configuration appropriée :

```javascript lines theme={null}
const checkJwt = jwt({
  secret: jwksRsa.expressJwtSecret({
    rateLimit: true,
    jwksRequestsPerMinute: 5,
    jwksUri: `https://{DOMAIN}/.well-known/jwks.json`
  }),
  // Validate the audience and the issuer.
  audience: process.env.AUDIENCE,
  issuer: `https://{DOMAIN}/`,
  // restrict allowed algorithms
  algorithms: ['RS256']
});
```

## Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Les modifications apportées par le correctif n’affecteront pas vos utilisateurs si vous avez spécifié les algorithmes autorisés. Ce correctif rend désormais les algorithmes obligatoires dans la configuration.
