CVE-2023-37464 in cjoseالمعلومات

الملخص

بحسب VulDB • 11/07/2026

OpenIDC/cjose هي مكتبة C تُنفّذ معيار توقيع وتشفير كائنات جافاسكريبت (JOSE). تستخدم روتين فك تشفير AES GCM طول الوسم (Tag length) المستمد من وسم المصادقة الفعلي المقدم في رسالة JWE بشكل غير صحيح. ينص المعيار على أنه يجب تطبيق طول ثابت يبلغ 16 بايتاً (octets). وبالتالي، يسمح هذا الخطأ للمهاجم بتقديم وسم مصادقة مقصوص وتعديل رسالة JWE وفقاً لذلك. يُنصح المستخدمون بالترقية إلى إصدار >= 0.6.2.2. أما المستخدمون غير القادرين على الترقية فينبغي عليهم تجنب استخدام تشفير AES GCM واستبداله بخوارزمية تشفير أخرى (مثل AES CBC).

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub, Inc.

حجز

06/07/2023

إفشاء

15/07/2023

الاعتدال

تمت الموافقة

إدخال

VDB-234219

EPSS

0.00600

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!