PT-2022-7130 · Pypi+4 · Pyjwt+4

Emmharnuherl

·

Publicado

2022-05-12

·

Atualizado

2025-04-11

·

CVE-2022-29217

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do PyJWT anteriores à 2.4.0
Descrição
A vulnerabilidade está relacionada à implementação do JWT no Python PyJWT, onde um invasor pode explorar a falta de restrições em determinados formatos de chave aberta. Isso permite que um invasor remoto comprometa a integridade dos dados. A biblioteca PyJWT suporta vários algoritmos de assinatura JWT, e o aplicativo deve especificar quais algoritmos são suportados. Se o aplicativo usar jwt.algorithms.get default algorithms(), ele pode estar vulnerável a ataques. O número estimado de dispositivos potencialmente afetados não foi especificado.
Recomendações
Para versões anteriores à 2.4.0, atualize para a v2.4.0 para receber uma correção para este problema.
Como solução alternativa temporária, seja sempre explícito quanto aos algoritmos que são aceitos e esperados durante a decodificação.

Exploit

Correção

Use of a Broken Cryptographic Algorithm

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-327

Identificadores relacionados

AZL-9852
BDU:2023-07829
CVE-2022-29217
GHSA-FFQJ-6FQR-9H24
MGASA-2022-0244
OESA-2022-1710
OPENSUSE-SU-2022_2402-1
OPENSUSE-SU-2024:12139-1
OPENSUSE-SU-2025:14987-1
PYSEC-2022-202
SUSE-SU-2022:2401-1
SUSE-SU-2022:2402-1
SUSE-SU-2022:2403-1
SUSE-SU-2022:3545-1
SUSE-SU-2022_2401-1
SUSE-SU-2022_2402-1
SUSE-SU-2022_2403-1
SUSE-SU-2022_3545-1
SUSE-SU-2023:0794-1
SUSE-SU-2023_0794-1
USN-5526-1
USN-5526-2

Produtos afetados

Linuxmint
Pyjwt
Red Os
Suse
Ubuntu