get-jwks
[분석 일기] JWK를 캐시에 저장하여 관리할 경우 어떻게 될까 with CVE-2025-59936
[분석 일기] JWK를 캐시에 저장하여 관리할 경우 어떻게 될까 with CVE-2025-59936
2025.09.301. 서론얼마전에 npm 모듈 중에서 재미있는 취약점이 공개 되었길래 분석을 진행하였다. `get-jwks` 모듈은 전달 받은 JWT를 verify 하기 위해, iss 필드에 있는 서버로 fetch한 결과(JWK)를 캐시에 저장하는 모듈이다. 이로 인해, 상황에 맞는 동일한 JWK에 대해 다시 요청할 필요 없이 캐시된 정보로 verify 하게 된다.https://github.com/nearform/get-jwks GitHub - nearform/get-jwks: Fetch utils for JWKS keysFetch utils for JWKS keys. Contribute to nearform/get-jwks development by creating an account on GitHub.github.c..