CVE-2024-28122

Опубликовано: 09 мар. 2024

Источник: nvd

CVSS3: 6.8

EPSS Низкий

Описание

JWX is Go module implementing various JWx (JWA/JWE/JWK/JWS/JWT, otherwise known as JOSE) technologies. This vulnerability allows an attacker with a trusted public key to cause a Denial-of-Service (DoS) condition by crafting a malicious JSON Web Encryption (JWE) token with an exceptionally high compression ratio. This issue has been patched in versions 1.2.29 and 2.0.21.

Ссылки

https://github.com/lestrrat-go/jwx/releases/tag/v1.2.29
Product
Release Notes
https://github.com/lestrrat-go/jwx/releases/tag/v2.0.21
Product
Release Notes
https://github.com/lestrrat-go/jwx/security/advisories/GHSA-hj3v-m684-v259
Exploit
Vendor Advisory
https://github.com/lestrrat-go/jwx/releases/tag/v1.2.29
Product
Release Notes
https://github.com/lestrrat-go/jwx/releases/tag/v2.0.21
Product
Release Notes
https://github.com/lestrrat-go/jwx/security/advisories/GHSA-hj3v-m684-v259
Exploit
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:lestrrat-go:jwx:*:*:*:*:*:*:*:*

Версия до 1.2.29 (исключая)

cpe:2.3:a:lestrrat-go:jwx:*:*:*:*:*:*:*:*

Версия от 2.0.0 (включая) до 2.0.21 (исключая)

EPSS

Процентиль: 36%

0.0015

Низкий

6.8 Medium

CVSS3

Дефекты

CWE-400

Связанные уязвимости

CVE-2024-28122

CVSS3: 6.8

redhat

почти 2 года назад

GHSA-hj3v-m684-v259

CVSS3: 6.8

github

почти 2 года назад

JWX vulnerable to a denial of service attack using compressed JWE message

BDU:2024-02139

CVSS3: 6.8

fstec

почти 2 года назад

Уязвимость библиотеки jwx языка программирования Go, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 36%

0.0015

Низкий

6.8 Medium

CVSS3

Дефекты

CWE-400