Informazioni sul CVE-2025-27144
Go JOSE's Parsing Vulnerable to Denial of Service
CWE ID: CWE-770
Base Score (CVSS): 6.6
CVE: CVE-2025-27144
Descrizione: Go JOSE fornisce un’implementazione degli standard di firma e cifratura JavaScript Object set di standard in Go, inclusa il supporto per standard JSON Web Encryption (JWE), JSON Web Signature (JWS), e JSON Web Token (JWT). In versioni sul branch 4.x prima di versione 4.0.5, quando si parsava input JWS o JWE compatto, Go JOSE poteva utilizzare un eccesso di memoria. Il codice utilizzava la funzione `string.Split(token, “.”)` per dividere i token JWT, il che era vulnerabile all’eccessivo consumo di memoria durante il processo di elaborazione di token malformati con un gran numero di `.` caratteri. Un attaccante poteva sfruttare questo sfruttando inviando numerosi token malformati, portando a esaurimento della memoria e un Denial of Service. La versione 4.0.5 ha risolto questo problema. Come workaround, le applicazioni potevano pre-validare che i payload passati a Go JOSE non contenessero un eccesso di caratteri `.`
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/go-jose/go-jose/security/advisories/GHSA-c6gw-w398-hv78
- https://github.com/go-jose/go-jose/commit/99b346cec4e86d102284642c5dcbe9bb0cacfc22
- https://github.com/go-jose/go-jose/releases/tag/v4.0.5
Prodotti interessati
- go-jose – go-jose
Relazioni con altri prodotti
Produttore:go-jose
Prodotto: go-jose
Anno: 2025
CWE: CWE-770
CVSS: 6.6