PT-2025-41596 · Pypi+4 · Oauthlib+4
Al-Cybision
·
Publicado
2025-10-02
·
Atualizado
2026-06-03
·
CVE-2025-61920
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do Software Vulnerável e Versões Afetadas
Versões do Authlib anteriores a 1.6.5
Descrição
O Authlib, uma biblioteca Python para construção de servidores OAuth e OpenID Connect, possui uma falha em sua implementação JOSE. A biblioteca aceita segmentos de cabeçalho e assinatura JWS/JWT sem limites de tamanho. Um atacante pode criar um token com um cabeçalho ou assinatura codificados em base64url muito extensos, potencialmente consumindo recursos excessivos de CPU e memória, levando a uma negação de serviço. A biblioteca decodifica e analisa toda a entrada antes de rejeitá-la.
Recomendações
Atualize para a versão 1.6.5 ou posterior do Authlib.
Imponha limites de tamanho de entrada antes de passar tokens para o Authlib.
Implemente limitação de taxa a nível de aplicação para reduzir o risco de amplificação.
Exploit
Correção
DoS
Resource Exhaustion
Allocation of Resources Without Limits
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Oauthlib
Debian
Linuxmint
Red Os
Ubuntu