sansec/magento2-module-cosmic-sting-jwt

维护者

详细信息

github.com/sansecio/magento2-module-cosmic-sting-jwt

源代码

问题

安装次数: 5,723

依赖关系: 0

建议者: 0

安全: 0

星标: 15

关注者: 4

分支: 1

开放问题: 0

类型:magento2-module

0.1.0 2024-07-15 17:29 UTC

Requires

  • magento/module-jwt-user-token: *

MIT f09ae85e209d7b4068e111498e8e58b3be9c8fe5

This package is auto-updated.

Last update: 2024-09-18 08:03:38 UTC

README

Adobe 发布了一个针对孤立补丁的热修复,确保仅使用最新的加密密钥用于JWT。如果您已应用此热修复,则此模块不再必要。

Cosmic Sting JWT

由于 CosmicSting 允许攻击者读取任何文件,攻击者可以窃取 Magento 的秘密加密密钥。此加密密钥可以用于生成具有完整管理员 API 访问权限的 JSON Web Tokens。

Adobe 提供了一个更改加密密钥的解决方案,但它所做的一切只是 添加 一个额外的密钥,然后尝试使用此密钥重新加密现有的秘密。它对在 app/etc/env.php 中仍然被引用的旧密钥无效化没有任何作用。

本模块确保 JWT 只使用最新的加密密钥进行读取。它按原样提供,不提供任何保证或保证。请广泛测试并在自己的风险下使用。

安装

composer require sansec/magento2-module-cosmic-sting-jwt
bin/magento setup:upgrade

许可证

MIT 许可证 - 版权所有 (c) 2024 Sansec