CVE-2021-29446

**Nome do software vulnerável e versões afetadas:

Versões do jose-node-cjs-runtime anteriores à 3.11.4

Descrição:

A descriptografia do algoritmo AES CBC HMAC SHA2 no pacote jose-node-cjs-runtime apresenta uma diferença de tempo quando ocorre um erro de preenchimento, criando um oráculo de preenchimento. Isso permite que um invasor possa potencialmente descriptografar dados sem conhecer a chave de descriptografia, fazendo em média 128*b chamadas ao oráculo de preenchimento, onde b é o número de bytes no bloco de texto cifrado.

Recomendações:

Para versões anteriores à 3.11.4, atualize para a versão 3.11.4 ou posterior para garantir que a tag HMAC seja verificada antes de realizar a descriptografia CBC.