PT-2024-4195 · Unknown+2 · Python-Jose+2

Emmharnuherl

·

Publicado

2024-04-25

·

Atualizado

2024-09-03

·

CVE-2024-33663

CVSS v4.0

9.3

Crítica

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
python-jose versões 3.3.0 e anteriores
Descrição
O problema está relacionado à confusão de algoritmos entre as chaves ECDSA do OpenSSH e outros formatos de chave no componente python-jose. Está associado à definição de uma lista negra de prefixos para chaves públicas ECDSA do OpenSSH. A exploração desse problema pode permitir que um invasor remoto obtenha acesso não autorizado às chaves públicas ECDSA do OpenSSH.
Recomendações
Para as versões 3.3.0 e anteriores do python-jose, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Use of a Broken Cryptographic Algorithm

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-327

Identificadores relacionados

BDU:2024-04681
CVE-2024-33663
ECHO-04E0-8CCC-E285
GHSA-6C5P-J8VQ-PQHJ
OPENSUSE-SU-2024:0118-1
OPENSUSE-SU-2024:13928-1
PYSEC-2024-232
RHSA-2024:6428

Produtos afetados

Debian
Red Os
Python-Jose