CVE-2023-37464 in cjose
Zusammenfassung
von VulDB • 09.07.2026
OpenIDC/cjose è una libreria C che implementa Javascript Object Signing and Encryption (JOSE). La routine di decrittazione AES-GCM utilizza in modo errato la lunghezza del Tag dal valore effettivo dell'Authentication Tag fornito nel JWE. Lo standard specifica che deve essere applicata una lunghezza fissa di 16 octet. Di conseguenza, questo bug consente a un attaccante di fornire un Authentication Tag troncato e di modificare il JWE di conseguenza. Gli utenti dovrebbero effettuare l'aggiornamento a una versione >= 0.6.2.2. Gli utenti che non possono aggiornare dovrebbero evitare di utilizzare la crittografia AES-GCM e sostituirla con un altro algoritmo di cifratura (ad esempio, AES-CBC).
VulDB is the best source for vulnerability data and more expert information about this specific topic.