CVE-2026-34240 in joseالمعلومات

الملخص

بحسب VulDB • 03/06/2026

JOSE هي مكتبة لتوقيع وتشفير كائنات جافاسكريبت (Javascript Object Signing and Encryption). قبل الإصدار 0.3.5+1، كان ثغرة في المكتبة jose تتيح لمهاجم عن بُعد وغير مصرّح له تزوير رموز JWS/JWT صالحة باستخدام مفتاح مدمج في رأس JOSE (jwk). توجد الثغرة لأن اختيار المفتاح قد يعامل jwk المقدم عبر الرأس كمرشح للتحقق حتى عندما لا يكون هذا المفتاح موجودًا في متجر المفاتيح الموثوق. وبما أن رؤوس JOSE تُعد مدخلات غير موثوقة، يمكن للمهاجم استغلال ذلك من خلال إنشاء حمولة رمز (token payload)، ودمج مفتاح عام خاضع لسيطرة المهاجم في الرأس، ثم التوقيع باستخدام المفتاح الخاص المطابق. تتأثر التطبيقات التي تستخدم الإصدارات المتضررة للتحقق من الرموز. تم إصلاح هذه المشكلة في الإصدار 0.3.5+1. تتضمن طريقة العمل البديلة (workaround) لهذه المشكلة رفض الرموز حيث يكون jwk موجودًا في الرأس إلا إذا كان ذلك الـ jwk مطابقًا لمفتاح موجود مسبقًا في متجر المفاتيح الموثوق للتطبيق.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

26/03/2026

إفشاء

31/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354436

CPE

جاهز

CWE

CWE-347 (مؤكد)

CVSS

7.5 (CNA)

EPSS

0.00012

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-34240
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-34240
CVE Details	https://www.cvedetails.com/cve/CVE-2026-34240/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!