CVE-2023-25653 in node-joseالمعلومات

الملخص

بحسب VulDB • 27/05/2026

node-jose هو تنفيذ لـ JSON Object Signing and Encryption (JOSE) بلغة JavaScript للمتصفحات والخوادم القائمة على node.js. قبل الإصدار 2.2.0، عند استخدام واجهة التشفير الاحتياطية (fallback) غير الافتراضية، يمكن لعمليات ECC في `node-jose` أن تؤدي إلى حالة من حجب الخدمة (DoS)، بسبب احتمال حدوث حلقة لا نهائية في عملية حسابية داخلية. بالنسبة لبعض عمليات ECC، يتم تشغيل هذه الحالة بشكل عشوائي؛ بينما بالنسبة لعمليات أخرى، يمكن تشغيلها عن طريق مدخلات ضارة. تم إصلاح المشكلة في الإصدار 2.2.0. نظرًا لأن هذه المشكلة موجودة فقط في تنفيذ التشفير الاحتياطي (fallback)، يمكن تجنبها عن طريق التأكد من توفر إما WebCrypto أو وحدة `crypto` الخاصة بـ Node في بيئة JavaScript التي يتم تشغيل `node-jose` فيها.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub, Inc.

حجز

09/02/2023

إفشاء

16/02/2023

الاعتدال

تمت الموافقة

إدخال

VDB-221313

EPSS

0.00552

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!