CVE-2024-53861

Nome do software vulnerável e versões afetadas:

pyjwt versões 2.10.0 a 2.10.0

Descrição:

É executada uma comparação de string incorreta para a verificação iss, resultando na aceitação de “acb” para ‘ abc ’. Trata-se de um bug introduzido na versão 2.10.0, na qual a verificação da reivindicação “iss” mudou de isinstance(issuer, list) para isinstance(issuer, Sequence). Como str é uma Sequence, mas não uma lista, in também é usado para comparação de strings, resultando na verificação de if “abc” not in “ abcd ”: em vez de if ‘abc’ != “ abc ”:. As verificações de assinatura ainda estão presentes, portanto, o impacto no mundo real provavelmente se limita a cenários de negação de serviço.

Recomendações:

Para a versão 2.10.0 do pyjwt, atualize para a versão 2.10.1 para resolver o problema. Como solução alternativa temporária, considere desativar a verificação da reivindicação iss até que um patch esteja disponível. Restrinja o acesso à reivindicação iss para minimizar o risco de exploração. Evite usar a reivindicação iss no endpoint da API afetado até que o problema seja resolvido.