CVE-2026-48525

Nome do Software Vulnerável e Versões Afetadas PyJWT versões 2.8.0 a 2.12.1

Description Ao verificar tokens JWS destacados usando a opção de payload não codificado ("b64": false, RFC 7797), o software realiza a decodificação Base64URL do segmento de payload de serialização compacta antes de aplicar as regras de payload destacado. Como o payload decodificado é posteriormente descartado e substituído pelo detached payload fornecido pelo chamador, o segmento central pode ser utilizado como um amplificador de trabalho. Um cliente remoto pode fornecer um segmento de payload Base64URL arbitrariamente grande, forçando processamento excessivo de CPU e alocações de memória, independentemente de a assinatura ser válida. Isso resulta em uma Negação de Serviço (DoS) não autenticada contra qualquer endpoint que verifique JWS destacado.

Recommendations Atualizar para a versão 2.13.0.