PT-2026-31004 · Jwcrypto+2 · Jwcrypto+2

Hkmj19

·

Publicado

2026-04-07

·

Atualizado

2026-05-19

·

CVE-2026-39373

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Name of the Vulnerable Software and Affected Versions JWCrypto versões anteriores a 1.5.7
Description Um token JWE criado com compressão ZIP pode esgotar a memória do servidor. O patch existente limita o tamanho do token de entrada a 250KB, mas não valida o tamanho da saída descompactada. Um token abaixo do limite de entrada de 250KB pode descompactar para aproximadamente 100MB, potencialmente causando exaustão de memória em sistemas com memória limitada.
Recommendations Atualize para a versão 1.5.7 ou posterior.

Correção

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-409

Identificadores relacionados

ALSA-2026:19042
ALSA-2026:19197
BDU:2026-07340
CVE-2026-39373
GHSA-FJRM-76X2-C4Q4
OESA-2026-1923
OESA-2026-1924
OESA-2026-1925
OESA-2026-1926
OPENSUSE-SU-2026:10576-1
PYSEC-2026-70
RHSA-2026:13508
RHSA-2026:13512
RHSA-2026:19042
RHSA-2026:19197

Produtos afetados

Jwcrypto
Red Os
Rocky Linux