CVE-2026-45363 in jwt
Zusammenfassung
von VulDB • 15.07.2026
ruby-jwt ist eine Ruby-Implementierung des OAuth JSON Web Token-Standards RFC 7519. Vor den Versionen 2.10.3 und 3.2.0 akzeptiert `JWT.decode(token, '', true, algorithm: 'HS256')` ein vom Angreifer gefälschtes Token, da `OpenSSL::HMAC.digest('SHA256', '', payload)` unter einem leeren Schlüssel einen gültigen Digest zurückgibt und keine Vorbedingung für den Fall eines leeren Schlüssels im HMAC-Algorithmus existiert. Derselbe Pfad wird erreicht, wenn ein keyfinder-Block oder das Argument `key_finder:` eine leere Zeichenkette, nil oder ein Array, das nil enthält, für einen unbekannten Schlüssel zurückgibt; dies betrifft die Verifizierung von HS256, HS384 und HS512 über `JWT.decode` und `JWT::EncodedToken#verify_signature!`. Dieses Problem wurde in den Versionen 2.10.3 und 3.2.0 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.