Sushi-Gif

**Nome do Software Vulnerável e Versões Afetadas** PyJWT versões 2.9.0 a 2.12.1 **Description** Ocorre um bypass na lista de permissões de algoritmos do lado do verificador quando `jwt.decode()` ou `jwt.decode complete()` são chamados com uma chave PyJWK. Embora o `alg` do cabeçalho do token seja verificado contra a lista de permissões de algoritmos fornecida, a verificação da assinatura é realizada com o algoritmo vinculado ao objeto PyJWK em vez do algoritmo do cabeçalho. Isso permite que um invasor que controle uma chave privada JWK/JWKS registrada assine um token com um algoritmo não permitido e anuncie um algoritmo permitido no cabeçalho do JWT para ser aceito. O problema afeta o fluxo `PyJWKClient.get signing key from jwt(...)`. **Recommendations** Atualizar para a versão 2.13.0.