CVE-2023-37464 in cjoseinfo

Zusammenfassung

von VulDB • 09.07.2026

OpenIDC/cjose è una libreria C che implementa Javascript Object Signing and Encryption (JOSE). La routine di decrittazione AES-GCM utilizza in modo errato la lunghezza del Tag dal valore effettivo dell'Authentication Tag fornito nel JWE. Lo standard specifica che deve essere applicata una lunghezza fissa di 16 octet. Di conseguenza, questo bug consente a un attaccante di fornire un Authentication Tag troncato e di modificare il JWE di conseguenza. Gli utenti dovrebbero effettuare l'aggiornamento a una versione >= 0.6.2.2. Gli utenti che non possono aggiornare dovrebbero evitare di utilizzare la crittografia AES-GCM e sostituirla con un altro algoritmo di cifratura (ad esempio, AES-CBC).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub, Inc.

Reservieren

06.07.2023

Veröffentlichung

15.07.2023

Moderieren

akzeptiert

Eintrag

VDB-234219

CPE

bereit

EPSS

0.00600

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!