CVE-2026-48524

Nome do Software Vulnerável e Versões Afetadas PyJWT versões anteriores a 2.13.0

Descrição PyJWT é uma implementação de JSON Web Token em Python. A função get signing key() no PyJWKClient força uma nova requisição HTTP para o endpoint JWKS para cada JWT que contenha um valor kid desconhecido, sem a implementação de limitação de taxa (rate limiting). Como a variável kid é originada do cabeçalho do token não verificado, um invasor pode disparar requisições externas ilimitadas. Este problema ocorre especificamente quando uma busca de JWKS falha, o que um invasor pode tentar provocar através de tráfego sustentado com valores kid desconhecidos, embora o resultado final dependa do comportamento do endpoint JWKS upstream.

Recomendações Atualizar para a versão 2.13.0.