CVE-2021-29444

**Nome do software vulnerável e versões afetadas:

Versões do jose-browser-runtime anteriores à 3.11.4

Descrição:

A descriptografia do algoritmo AES CBC HMAC SHA2 no jose-browser-runtime apresenta uma vulnerabilidade de oráculo de preenchimento. Isso ocorre porque uma diferença de tempo, possivelmente observável, quando ocorre um erro de preenchimento durante a descriptografia do texto cifrado pode ser usada por um invasor para descriptografar dados sem conhecer a chave de descriptografia. O invasor pode fazer uso desse oráculo emitindo, em média, 128*b chamadas ao oráculo de preenchimento, onde b é o número de bytes no bloco de texto cifrado.

Recomendações:

Para versões anteriores à 3.11.4, atualize para a versão 3.11.4 ou posterior. Especificamente, os usuários devem atualizar para a versão ^3.11.4 para garantir que a tag HMAC seja verificada antes de realizar a descriptografia CBC, mitigando assim a vulnerabilidade.