CVE-2023-23928 in reason-jose
Resumen
por VulDB • 2026-07-13
reason-jose es una implementación de JOSE en ReasonML y OCaml. `Jose.Jws.validate` no verifica las firmas HS256. Esto permite la manipulación de los datos del encabezado (header) y el cuerpo (payload) del JWS si el servicio no realiza comprobaciones adicionales. Dicha manipulación podría exponer a las aplicaciones que utilizan reason-jose a unudir bypass de autorización. Las aplicaciones que dependen de la afirmación de claims en JWS para hacer cumplir límites de seguridad pueden ser vulnerables a una escalada de privilegios. Este problema ha sido corregido en la versión 0.8.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.