PT-2024-27665 · Unknown+4 · Lepture Authlib+4

Emmharnuherl

·

Publicado

2024-06-09

·

Atualizado

2026-06-03

·

CVE-2024-37568

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do lepture Authlib anteriores à 1.3.1
Descrição
O problema diz respeito à confusão de algoritmos com chaves públicas assimétricas no lepture Authlib. A menos que um algoritmo seja especificado em uma chamada jwt.decode, a verificação HMAC é permitida com qualquer chave pública assimétrica.
Recomendações
Para versões anteriores à 1.3.1, atualize para a versão 1.3.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere especificar um algoritmo nas chamadas jwt.decode para impedir a verificação HMAC com chaves públicas assimétricas arbitrárias.

Exploit

Correção

Use of a Broken Cryptographic Algorithm

Improper Access Control

Improper Verification of Cryptographic Signature

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-327CWE-284CWE-347

Identificadores relacionados

CVE-2024-37568
DLA-4352-1
GHSA-5357-C2JX-V7QH
MGASA-2024-0238
OPENSUSE-SU-2024:14035-1
OPENSUSE-SU-2024_2064-1
PYSEC-2024-52
SUSE-SU-2024:2064-1
USN-8065-1

Produtos afetados

Debian
Linuxmint
Suse
Ubuntu
Lepture Authlib