PT-2024-2083 · Jwcrypto+6 · Jwcrypto+6

P3Ngu1Nw

·

Publicado

2024-03-06

·

Atualizado

2025-12-22

·

CVE-2024-28102

CVSS v2.0

6.8

Média

VetorAV:N/AC:L/Au:S/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do jwcrypto anteriores à 1.5.6
Descrição
O problema está relacionado a um consumo descontrolado de recursos na biblioteca jwcrypto. Um invasor pode provocar um ataque de negação de serviço (DoS) ao enviar um token JWE malicioso com uma alta taxa de compressão. Quando o servidor processa esse token, ele consome uma grande quantidade de memória e tempo de processamento.
Recomendações
Para versões anteriores à 1.5.6, a fim de mitigar essa vulnerabilidade, recomenda-se limitar o comprimento máximo do token a 250K.
Como solução temporária, considere restringir o processamento de tokens com altas taxas de compressão até que um patch esteja disponível.
Atualize para a versão 1.5.6 ou posterior para corrigir a vulnerabilidade.

Exploit

Correção

DoS

Allocation of Resources Without Limits

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770CWE-400

Identificadores relacionados

ALSA-2024:2559
ALSA-2024_2559
AZL-43360
AZL-43366
BDU:2024-01978
CESA-2024_3267
CVE-2024-28102
DLA-3883-1
GHSA-J857-7RVV-VJ97
INFSA-2024_2559
INFSA-2024_3267
OESA-2024-2443
OESA-2024-2444
OESA-2025-1163
OPENSUSE-SU-2024:13798-1
RHSA-2024:2559
RHSA-2024:3267
RHSA-2024:4522
RHSA-2024_2559
RHSA-2024_3267
RLSA-2024:2559
RLSA-2024:3267

Produtos afetados

Almalinux
Astra Linux
Centos
Red Hat
Red Os
Rocky Linux
Jwcrypto