Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07829

Опубликовано: 12 мая 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость реализации JWT в Python PyJWT связана с отсутсвием блокировки некоторых форматов открытого ключа. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказать воздействие на целостность данных

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
ООО «Ред Софт»

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition для «Эльбрус»
РЕД ОС
PyJWT

Версия ПО

10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
от 1.5.0 до 2.4.0 (PyJWT)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Для PyJWT:
использование рекомендаций производителя: https://github.com/jpadilla/pyjwt/security/advisories/GHSA-ffqj-6fqr-9h24
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-29217
Для ОС Astra Linux:
обновить пакет pyjwt до 1.4.2-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 59%
0.00382
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240911-10

CVSS3: 7.5
redos
10 месяцев назад

Уязвимость python3-jwt

ubuntu логотип

CVE-2022-29217

CVSS3: 7.4
ubuntu
около 3 лет назад

PyJWT is a Python implementation of RFC 7519. PyJWT supports multiple different JWT signing algorithms. With JWT, an attacker submitting the JWT token can choose the used signing algorithm. The PyJWT library requires that the application chooses what algorithms are supported. The application can specify `jwt.algorithms.get_default_algorithms()` to get support for all algorithms, or specify a single algorithm. The issue is not that big as `algorithms=jwt.algorithms.get_default_algorithms()` has to be used. Users should upgrade to v2.4.0 to receive a patch for this issue. As a workaround, always be explicit with the algorithms that are accepted and expected when decoding.

redhat логотип

CVE-2022-29217

CVSS3: 7.5
redhat
около 3 лет назад

PyJWT is a Python implementation of RFC 7519. PyJWT supports multiple different JWT signing algorithms. With JWT, an attacker submitting the JWT token can choose the used signing algorithm. The PyJWT library requires that the application chooses what algorithms are supported. The application can specify `jwt.algorithms.get_default_algorithms()` to get support for all algorithms, or specify a single algorithm. The issue is not that big as `algorithms=jwt.algorithms.get_default_algorithms()` has to be used. Users should upgrade to v2.4.0 to receive a patch for this issue. As a workaround, always be explicit with the algorithms that are accepted and expected when decoding.

nvd логотип

CVE-2022-29217

CVSS3: 7.4
nvd
около 3 лет назад

PyJWT is a Python implementation of RFC 7519. PyJWT supports multiple different JWT signing algorithms. With JWT, an attacker submitting the JWT token can choose the used signing algorithm. The PyJWT library requires that the application chooses what algorithms are supported. The application can specify `jwt.algorithms.get_default_algorithms()` to get support for all algorithms, or specify a single algorithm. The issue is not that big as `algorithms=jwt.algorithms.get_default_algorithms()` has to be used. Users should upgrade to v2.4.0 to receive a patch for this issue. As a workaround, always be explicit with the algorithms that are accepted and expected when decoding.

msrc логотип

CVE-2022-29217

CVSS3: 7.5
msrc
около 3 лет назад

Описание отсутствует

EPSS

Процентиль: 59%
0.00382
Низкий

7.5 High

CVSS3

7.8 High

CVSS2