> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-fix-docs-5528-php-updates.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2022-23539、CVE-2022-23541、CVE-2022-23540：jsonwebtokenのセキュリティ更新

> JSON Webトークンライブラリーに対するCVE-2022-23539、CVE-2022-23541、CVE-2022-23540のセキュリティ更新について説明します。

**公開日** ：2022年12月21日

**CVEメンバー** ：CVE-2022-23539、CVE-2022-23541、CVE-2022-23540

### 概要

Auth0は、4つの脆弱性に対処するために、`jsonwebtoken`ライブラリーの新しいメジャーバージョンをリリースしました。

次のセキュリティアドバイザリを確認し、新しいメジャーバージョンにアップグレードすることをお勧めします。

* 制限のないキータイプを使用すると、レガシーキーの使用につながる可能性があります：[CVE-2022-23539](https://github.com/auth0/node-jsonwebtoken/security/advisories/GHSA-8cf7-32gw-wr33)
* キー取得機能の安全でない実装により、RSAからHMACへの改ざん可能な公開/秘密トークンが作成される可能性があります：[CVE-2022-23541](https://github.com/auth0/node-jsonwebtoken/security/advisories/GHSA-hjrf-2m68-5959)
* <Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-jp/glossary?term=json-web-token" tip="JSON Web Token（JWT）: 二者間のクレームを安全に表現するために使用される標準IDトークン形式（および多くの場合、アクセストークン形式）。" cta="用語集の表示">jwt</Tooltip>.verify()の安全でないデフォルトアルゴリズムにより、署名検証のバイパスが可能になるリスクがあります：[CVE-2022-23540](https://github.com/auth0/node-jsonwebtoken/security/advisories/GHSA-qwph-4952-7xr6)

### 自分は影響を受けますか？

構成に依存して、バージョンが`jsonwebtoken`\<=8.5.1を使用している場合、影響を受ける可能性があります。詳細については、各セキュリティアドバイザリを確認してください。

### 対処方法は？

`jsonwebtoken`を使用している場合、9.0.0以上のバージョンにアップグレードしてください。いくつか追加の構成が必要かもしれません。詳細については、各セキュリティアドバイザリを確認してください。

### この更新はユーザーに影響しますか？

構成とアプリケーションのニーズによりますが、バージョン9.0.0にアップグレードすることにより、ユーザーに影響を与えるかもしれません。詳細については、各セキュリティアドバイザリを確認してください。
