PT-2024-4196 · Pypi+2 · Python-Jose+2
Emmharnuherl01
·
Publicado
2024-04-25
·
Atualizado
2024-09-05
·
CVE-2024-33664
CVSS v2.0
6.1
Média
| Vetor | AV:N/AC:L/Au:M/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
python-jose versões 3.3.0 e anteriores
Descrição
O problema está relacionado ao alto consumo de recursos durante a decodificação de um token JSON Web Encryption (JWE) malicioso, que pode ser explorado por um invasor remoto para causar uma negação de serviço. Isso também é conhecido como “JWT bomb” devido à alta taxa de compressão do token.
Recomendações
Para as versões 3.3.0 e anteriores do python-jose, como solução temporária, considere restringir o uso da função de decodificação do token JWE até que um patch esteja disponível. Evite usar a função
decode com entradas não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Red Os
Python-Jose