CVE-2026-48525 in pyjwtالمعلومات

الملخص

بحسب VulDB • 29/05/2026

PyJWT هو تنفيذ لرموز الويب JSON (JWT) في لغة بايثون. من الإصدار 2.8.0 إلى 2.12.1، عند التحقق من رموز JWS المنفصلة (detached JWS) باستخدام خيار الحمولة غير المشفرة ("b64": false، RFC 7797)، يقوم PyJWT بإجراء فك تشفير Base64URL لجزء الحمولة في التسلسل المدمج (compact-serialization) قبل فرض قواعد الحمولة المنفصلة. بالنسبة لحالة b64=false، يتجاهل PyJWT لاحقاً تلك الحمولة المفككة ويستبدلها بالحمولة المنفصلة المقدمة من قبل المتصل (detached_payload). عملياً، يحول هذا الجزء الأوسط إلى "مضخم عمل" (work amplifier) يتحكم فيه المهاجم: يمكن لعميل عن بعد تزويد جزء حمولة Base64URL بحجم كبير بشكل تعسفي، مما يفرض استهلاكاً عاليًا لموارد وحدة المعالجة المركزية وتخصيصات للذاكرة حتى لو كانت التوقيع غير صالح. يخلق هذا نقطة هجوم لشن هجمات حجب الخدمة (DoS) دون حاجة إلى مصادقة ضد أي نقطة نهاية تقوم بالتحقق من رموز JWS المنفصلة باستخدام PyJWT. تم إصلاح هذا الثغرة الأمنية في الإصدار 2.13.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

21/05/2026

إفشاء

28/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366768

CPE

جاهز

CWE

CWE-400 (مؤكد)

CVSS

5.3 (CNA)

EPSS

0.00054

KEV

لا

النشاطات

منخفض

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-48525
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-48525
CVE Details	https://www.cvedetails.com/cve/CVE-2026-48525/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!