CVE-2023-23928 in reason-joseinformación

Resumen

por VulDB • 2026-07-13

reason-jose es una implementación de JOSE en ReasonML y OCaml. `Jose.Jws.validate` no verifica las firmas HS256. Esto permite la manipulación de los datos del encabezado (header) y el cuerpo (payload) del JWS si el servicio no realiza comprobaciones adicionales. Dicha manipulación podría exponer a las aplicaciones que utilizan reason-jose a unudir bypass de autorización. Las aplicaciones que dependen de la afirmación de claims en JWS para hacer cumplir límites de seguridad pueden ser vulnerables a una escalada de privilegios. Este problema ha sido corregido en la versión 0.8.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub, Inc.

Reservar

2023-01-19

Divulgación

2023-02-01

Moderación

aceptado

Artículo

VDB-219896

CPE

listo

EPSS

0.00459

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!