Jpadilla

**Nome do Software Vulnerável e Versões Afetadas** PyJWT versões anteriores a 2.13.0 **Descrição** PyJWT é uma implementação de JSON Web Token em Python. A função `get signing key()` no `PyJWKClient` força uma nova requisição HTTP para o endpoint JWKS para cada JWT que contenha um valor `kid` desconhecido, sem a implementação de limitação de taxa (rate limiting). Como a variável `kid` é originada do cabeçalho do token não verificado, um invasor pode disparar requisições externas ilimitadas. Este problema ocorre especificamente quando uma busca de JWKS falha, o que um invasor pode tentar provocar através de tráfego sustentado com valores `kid` desconhecidos, embora o resultado final dependa do comportamento do endpoint JWKS upstream. **Recomendações** Atualizar para a versão 2.13.0.

**Name of the Vulnerable Software and Affected Versions** PyJWT versions 1.5.0 and below **Description** The issue concerns a symmetric/asymmetric key confusion attack. In PyJWT, the `invalid strings` check in `HMACAlgorithm.prepare key` does not account for all PEM encoded public keys, specifically the PKCS1 PEM encoded format. This allows an attacker to craft JWTs from scratch when using the PKCS1 PEM encoded public keys. **Recommendations** For PyJWT versions 1.5.0 and below, consider updating to a version above 1.5.0 to resolve the issue. As a temporary workaround, restrict the use of PKCS1 PEM encoded public keys to minimize the risk of exploitation. Avoid using the `HMACAlgorithm.prepare key` function with PKCS1 PEM encoded public keys until the issue is resolved.