CVE-2025-62706

Nome do Software Vulnerável e Versões Afetadas Versões do Authlib anteriores à 1.6.5

Descrição A implementação JWE do Authlib, especificamente ao lidar com a opção zip=DEF, está suscetível a uma negação de serviço. Um texto cifrado pequeno pode expandir-se para um texto plano muito grande durante a descompressão devido à descompressão DEFLATE sem limites. Um atacante capaz de fornecer tokens descriptografáveis pode explorar isso para esgotar os recursos de memória e CPU, resultando em uma negação de serviço. O problema origina-se do uso de zlib.decompress sem um limite máximo de saída na função DeflateZipAlgorithm.decompress. O fluxo de decodificação JWE aplica essa descompressão sem quaisquer restrições de tamanho. A vulnerabilidade pode ser reproduzida criando um texto cifrado zip=DEF pequeno que se infla para um texto plano muito grande durante a descriptografia. O impacto é uma interrupção significativa da disponibilidade, mas não há impacto direto na confidencialidade ou integridade.

Recomendações Versões anteriores à 1.6.5: Rejeite ou remova zip=DEF para JWEs de entrada no limite da aplicação. Versões anteriores à 1.6.5: Adicione uma guarda de descompressão limitada, retornando um erro quando a saída exceder um limite seguro. Versões anteriores à 1.6.5: Imponha tamanhos máximos rígidos de token e falhe rapidamente em entradas excessivamente grandes, combinando isso com limitação de taxa.