namshi/joseにトークンの署名が適切に検証されない脆弱性が確認された。影響を受けるは、namshi/jose 2.2.1 とそれ以前、namshi/jose 3.0.0とそれ以前、namshi/jose 4.0.0とそれ以前、namshi/jose 5.0.0とそれ以前で、ヘッダで指定されたアルゴリズムが‘none’だった際にどのJWSトークンでも検証されてしまう。この脆弱性が悪用されると、細工されたJWTデータが正しいトークンとみなされる恐れがある。解決策として、namshi/jose 2.2.2、3.0.1、4.0.1、5.0.1が公開されており、アップデートによりこの脆弱性は解消される。
