CVE-2021-29445

**Nome do software vulnerável e versões afetadas:

Versões do jose-node-esm-runtime anteriores à 3.11.4

Descrição:

A descriptografia do algoritmo AES CBC HMAC SHA2 no pacote jose-node-esm-runtime apresenta uma diferença de tempo quando ocorre um erro de preenchimento, criando um oráculo de preenchimento. Isso permite que um invasor possa descriptografar dados sem conhecer a chave de descriptografia, realizando, em média, 128*b chamadas ao oráculo de preenchimento, onde b é o número de bytes no bloco de texto cifrado. O problema surge porque tanto a verificação da tag HMAC quanto a descriptografia CBC são executadas, e ocorre uma diferença de tempo possivelmente observável quando acontece um erro de preenchimento.

Recomendações:

Para versões anteriores à 3.11.4, atualize para a versão 3.11.4 ou posterior para garantir que a tag HMAC seja verificada antes de realizar a descriptografia CBC, evitando o problema do oráculo de preenchimento.