CVE-2026-45363 in jwtinfo

Zusammenfassung

von VulDB • 15.07.2026

ruby-jwt ist eine Ruby-Implementierung des OAuth JSON Web Token-Standards RFC 7519. Vor den Versionen 2.10.3 und 3.2.0 akzeptiert `JWT.decode(token, '', true, algorithm: 'HS256')` ein vom Angreifer gefälschtes Token, da `OpenSSL::HMAC.digest('SHA256', '', payload)` unter einem leeren Schlüssel einen gültigen Digest zurückgibt und keine Vorbedingung für den Fall eines leeren Schlüssels im HMAC-Algorithmus existiert. Derselbe Pfad wird erreicht, wenn ein keyfinder-Block oder das Argument `key_finder:` eine leere Zeichenkette, nil oder ein Array, das nil enthält, für einen unbekannten Schlüssel zurückgibt; dies betrifft die Verifizierung von HS256, HS384 und HS512 über `JWT.decode` und `JWT::EncodedToken#verify_signature!`. Dieses Problem wurde in den Versionen 2.10.3 und 3.2.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

12.05.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379066

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!