Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-03457

Опубликовано: 02 окт. 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость реализации JOSE библиотеки Authlib для серверов OAuth и OpenID Connect связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «Ред Софт»
Red Hat Inc.
Hsiaoming Ltd

Наименование ПО

Debian GNU/Linux
Ubuntu
РЕД ОС
Red Hat Quay
Аuthlib

Версия ПО

11 (Debian GNU/Linux)
22.04 LTS (Ubuntu)
24.04 LTS (Ubuntu)
25.10 (Ubuntu)
8.0 (РЕД ОС)
3.1 (Red Hat Quay)
3.12 (Red Hat Quay)
3.9 (Red Hat Quay)
3.13 (Red Hat Quay)
3.14 (Red Hat Quay)
до 1.6.5 (Аuthlib)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
Canonical Ltd. Ubuntu 22.04 LTS
Canonical Ltd. Ubuntu 24.04 LTS
Canonical Ltd. Ubuntu 25.10
ООО «Ред Софт» РЕД ОС 8.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Authlib:
https://docs.authlib.org/en/stable/changelog.html#version-1-6-5
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-61920
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-61920
Для Ubuntu:
https://ubuntu.com/security/CVE-2025-61920
Для Ред ОС:
http://repo.red-soft.ru/redos/8.0/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 66%
0.00497
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-61920

CVSS3: 7.5
ubuntu
6 месяцев назад

Authlib is a Python library which builds OAuth and OpenID Connect servers. Prior to version 1.6.5, Authlib’s JOSE implementation accepts unbounded JWS/JWT header and signature segments. A remote attacker can craft a token whose base64url‑encoded header or signature spans hundreds of megabytes. During verification, Authlib decodes and parses the full input before it is rejected, driving CPU and memory consumption to hostile levels and enabling denial of service. Version 1.6.5 patches the issue. Some temporary workarounds are available. Enforce input size limits before handing tokens to Authlib and/or use application-level throttling to reduce amplification risk.

redhat логотип

CVE-2025-61920

CVSS3: 7.5
redhat
6 месяцев назад

Authlib is a Python library which builds OAuth and OpenID Connect servers. Prior to version 1.6.5, Authlib’s JOSE implementation accepts unbounded JWS/JWT header and signature segments. A remote attacker can craft a token whose base64url‑encoded header or signature spans hundreds of megabytes. During verification, Authlib decodes and parses the full input before it is rejected, driving CPU and memory consumption to hostile levels and enabling denial of service. Version 1.6.5 patches the issue. Some temporary workarounds are available. Enforce input size limits before handing tokens to Authlib and/or use application-level throttling to reduce amplification risk.

nvd логотип

CVE-2025-61920

CVSS3: 7.5
nvd
6 месяцев назад

Authlib is a Python library which builds OAuth and OpenID Connect servers. Prior to version 1.6.5, Authlib’s JOSE implementation accepts unbounded JWS/JWT header and signature segments. A remote attacker can craft a token whose base64url‑encoded header or signature spans hundreds of megabytes. During verification, Authlib decodes and parses the full input before it is rejected, driving CPU and memory consumption to hostile levels and enabling denial of service. Version 1.6.5 patches the issue. Some temporary workarounds are available. Enforce input size limits before handing tokens to Authlib and/or use application-level throttling to reduce amplification risk.

debian логотип

CVE-2025-61920

CVSS3: 7.5
debian
6 месяцев назад

Authlib is a Python library which builds OAuth and OpenID Connect serv ...

suse-cvrf логотип

SUSE-SU-2025:3754-1

suse-cvrf
6 месяцев назад

Security update for python-Authlib

EPSS

Процентиль: 66%
0.00497
Низкий

7.5 High

CVSS3

7.8 High

CVSS2