Al-Cybision

#17552de 53,630
15.3CVSS total
Vulnerabilidades · 2
Alta
2
PT-2025-41596
7.8
2025-10-02
Pypi · Oauthlib · CVE-2025-61920
**Nome do Software Vulnerável e Versões Afetadas** Versões do Authlib anteriores a 1.6.5 **Descrição** O Authlib, uma biblioteca Python para construção de servidores OAuth e OpenID Connect, possui uma falha em sua implementação JOSE. A biblioteca aceita segmentos de cabeçalho e assinatura JWS/JWT sem limites de tamanho. Um atacante pode criar um token com um cabeçalho ou assinatura codificados em base64url muito extensos, potencialmente consumindo recursos excessivos de CPU e memória, levando a uma negação de serviço. A biblioteca decodifica e analisa toda a entrada antes de rejeitá-la. **Recomendações** Atualize para a versão 1.6.5 ou posterior do Authlib. Imponha limites de tamanho de entrada antes de passar tokens para o Authlib. Implemente limitação de taxa a nível de aplicação para reduzir o risco de amplificação.
PT-2025-38752
7.5
2025-09-22
Oauthlib · Oauthlib · CVE-2025-59420
**Nome do Software Vulnerável e Versões Afetadas** Versões do Authlib anteriores à 1.6.4 **Descrição** A verificação JWS do Authlib lida inadequadamente com tokens que declaram parâmetros de cabeçalho críticos desconhecidos (`crit`), violando as especificações da RFC 7515. Um atacante pode criar um token assinado com um cabeçalho crítico (por exemplo, `bork` ou `cnf`) que verificadores rigorosos rejeitariam, mas que o Authlib aceita. Isso pode levar à verificação split-brain, bypass de políticas, ataques de replay ou escalonamento de privilégios em ambientes com frotas de linguagens mistas. O problema ocorre porque o Authlib não aplica a semântica "must-understand" definida para o parâmetro `crit` na RFC 7515. O endpoint da API `deserialize compact()` é afetado. O parâmetro `crit` é uma lista de parâmetros de cabeçalho críticos que um destinatário deve compreender e aplicar. Quando um token inclui um parâmetro `crit` com um nome desconhecido, verificadores rigorosos rejeitam o token, enquanto o Authlib o aceita. Essa discrepância pode ser explorada em ambientes heterogêneos onde alguns componentes são rigorosos e outros são lenientes. **Recomendações** Atualize o Authlib para a versão 1.6.4 ou posterior.