Informazioni sul CVE-2025-22149
JWK Set's HTTP client only overwrites and appends JWK to local cache during refresh
CWE ID: CWE-672
Base Score (CVSS): 2.1
CVE: CVE-2025-22149
Descrizione: JWK Set (JSON Web Key Set) è un JWK e un’implementazione JWK Set Go. Prima della versione 0.6.0, il cache HTTP client fornito dal progetto doveva eseguire una sostituzione completa quando il goroutine si rifiscalizzava il cache JWK Set remoto. Il comportamento attuale è sovrascrivere o aggiungere. Questo è un problema di sicurezza per casi d’uso che utilizzano il client HTTP auto-caching fornito e dove la rimozione di un JWK Set equivale a revoca. Il client HTTP auto-caching influenzato è stato aggiunto nella versione v0.5.0 e corretto nella versione v0.6.0. L’unica soluzione alternativa sarebbe rimuovere il client HTTP auto-caching fornito e sostituirlo con un’implementazione personalizzata. Ciò implica impostare la variabile `HTTPClientStorageOptions.RefreshInterval` a zero (o non specificare il valore).
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/MicahParks/jwkset/security/advisories/GHSA-675f-rq2r-jw82
- https://github.com/MicahParks/jwkset/issues/40
- https://github.com/MicahParks/jwkset/commit/01db49a90f7f20c7fb39a699a2f19a7a5f379ed3
Prodotti interessati
- MicahParks – jwkset
Relazioni con altri prodotti
Produttore:MicahParks
Prodotto: jwkset
Anno: 2025
CWE: CWE-672
CVSS: 2.1