Informazioni sul CVE-2024-28102
JWCrypto vulnerable to JWT bomb Attack in `deserialize` function
CWE ID: CWE-770
Base Score (CVSS): N/A
CVE: CVE-2024-28102
Descrizione: JWCrypto implementa le specifiche JWK, JWS e JWE utilizzando python-cryptography. Prima della versione 1.5.6, un attaccante può causare un attacco di denial of service passando in un token JWE malevolo con un alto rapporto di compressione. Quando il server elabora questo token, consumerà molta memoria e tempo di elaborazione. La versione 1.5.6 corregge questa vulnerabilità limitando la lunghezza massima del token.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: High, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/latchset/jwcrypto/security/advisories/GHSA-j857-7rvv-vj97
- https://github.com/latchset/jwcrypto/commit/90477a3b6e73da69740e00b8161f53fea19b831f
Prodotti interessati
- latchset – jwcrypto
Relazioni con altri prodotti
Produttore:latchset
Prodotto: jwcrypto
Anno: 2024
CWE: CWE-770
CVSS: 0.0