GHSA-gvpg-vgmx-xg6w

Опубликовано: 11 фев. 2024

Источник: github

Github: Прошло ревью

CVSS4: 8.7

CVSS3: 7.5

Описание

Denial of Service in Connect2id Nimbus JOSE+JWT

In Connect2id Nimbus JOSE+JWT before 9.37.2, an attacker can cause a denial of service (resource consumption) via a large JWE p2c header value (aka iteration count) for the PasswordBasedDecrypter (PBKDF2) component.

Ссылки

Пакеты

Наименование

com.nimbusds:nimbus-jose-jwt

maven

Затронутые версииВерсия исправления

< 9.37.2

9.37.2

EPSS

Процентиль: 23%

0.00078

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2023-52428

Дефекты

CWE-400

CWE-770

Связанные уязвимости

CVE-2023-52428

CVSS3: 7.5

redhat

почти 2 года назад

CVE-2023-52428

CVSS3: 7.5

nvd

почти 2 года назад

BDU:2024-03299

CVSS3: 7.5

fstec

почти 2 года назад

Уязвимость компонента PasswordBasedDecrypter Java-библиотеки Nimbus JOSE + JWT, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 23%

0.00078

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2023-52428

Дефекты

CWE-400

CWE-770