Fabianbadoi

Nome do software vulnerável e versões afetadas: pyjwt versões 2.10.0 a 2.10.0 Descrição: É executada uma comparação de string incorreta para a verificação `iss`, resultando na aceitação de `“acb”` para `‘ abc ’`. Trata-se de um bug introduzido na versão 2.10.0, na qual a verificação da reivindicação “iss” mudou de `isinstance(issuer, list)` para `isinstance(issuer, Sequence)`. Como str é uma Sequence, mas não uma lista, `in` também é usado para comparação de strings, resultando na verificação de `if “abc” not in “ abcd ”:` em vez de `if ‘abc’ != “ abc ”:`. As verificações de assinatura ainda estão presentes, portanto, o impacto no mundo real provavelmente se limita a cenários de negação de serviço. Recomendações: Para a versão 2.10.0 do pyjwt, atualize para a versão 2.10.1 para resolver o problema. Como solução alternativa temporária, considere desativar a verificação da reivindicação `iss` até que um patch esteja disponível. Restrinja o acesso à reivindicação `iss` para minimizar o risco de exploração. Evite usar a reivindicação `iss` no endpoint da API afetado até que o problema seja resolvido.