CVE-2024-28122

Опубликовано: 09 мар. 2024

Источник: redhat

CVSS3: 6.8

Описание

JWX is Go module implementing various JWx (JWA/JWE/JWK/JWS/JWT, otherwise known as JOSE) technologies. This vulnerability allows an attacker with a trusted public key to cause a Denial-of-Service (DoS) condition by crafting a malicious JSON Web Encryption (JWE) token with an exceptionally high compression ratio. This issue has been patched in versions 1.2.29 and 2.0.21.

An uncontrolled resource consumption vulnerability was found in jwx. This flaw allows an attacker with a trusted public key to cause a denial of service condition by crafting a malicious JWE token with an exceptionally high compression ratio.

Затронутые пакеты

Платформа	Пакет	Состояние
OpenShift Service Mesh 2	openshift-service-mesh/istio-cni-rhel8	Not affected
OpenShift Service Mesh 2	openshift-service-mesh/pilot-rhel8	Not affected
OpenShift Service Mesh 2	openshift-service-mesh/proxyv2-rhel8	Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-400

https://bugzilla.redhat.com/show_bug.cgi?id=2268761jwx: denial of service attack using compressed JWE message

6.8 Medium

CVSS3

Связанные уязвимости

CVE-2024-28122

CVSS3: 6.8

nvd

почти 2 года назад

GHSA-hj3v-m684-v259

CVSS3: 6.8

github

почти 2 года назад

JWX vulnerable to a denial of service attack using compressed JWE message

BDU:2024-02139

CVSS3: 6.8

fstec

почти 2 года назад

Уязвимость библиотеки jwx языка программирования Go, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

6.8 Medium

CVSS3