Emmharnuherl

**Nome do software vulnerável e versões afetadas** Versões do lepture Authlib anteriores à 1.3.1 **Descrição** O problema diz respeito à confusão de algoritmos com chaves públicas assimétricas no lepture Authlib. A menos que um algoritmo seja especificado em uma chamada `jwt.decode`, a verificação HMAC é permitida com qualquer chave pública assimétrica. **Recomendações** Para versões anteriores à 1.3.1, atualize para a versão 1.3.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere especificar um algoritmo nas chamadas `jwt.decode` para impedir a verificação HMAC com chaves públicas assimétricas arbitrárias.

**Nome do software vulnerável e versões afetadas** python-jose versões 3.3.0 e anteriores **Descrição** O problema está relacionado à confusão de algoritmos entre as chaves ECDSA do OpenSSH e outros formatos de chave no componente python-jose. Está associado à definição de uma lista negra de prefixos para chaves públicas ECDSA do OpenSSH. A exploração desse problema pode permitir que um invasor remoto obtenha acesso não autorizado às chaves públicas ECDSA do OpenSSH. **Recomendações** Para as versões 3.3.0 e anteriores do python-jose, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do PyJWT anteriores à 2.4.0 **Descrição** A vulnerabilidade está relacionada à implementação do JWT no Python PyJWT, onde um invasor pode explorar a falta de restrições em determinados formatos de chave aberta. Isso permite que um invasor remoto comprometa a integridade dos dados. A biblioteca PyJWT suporta vários algoritmos de assinatura JWT, e o aplicativo deve especificar quais algoritmos são suportados. Se o aplicativo usar `jwt.algorithms.get default algorithms()`, ele pode estar vulnerável a ataques. O número estimado de dispositivos potencialmente afetados não foi especificado. **Recomendações** Para versões anteriores à 2.4.0, atualize para a v2.4.0 para receber uma correção para este problema. Como solução alternativa temporária, seja sempre explícito quanto aos algoritmos que são aceitos e esperados durante a decodificação.