CVE-2023-37464 in cjoseinformación

Resumen

por VulDB • 2026-07-11

OpenIDC/cjose es una biblioteca en C que implementa Javascript Object Signing and Encryption (JOSE). La rutina de descifrado con AES-GCM utiliza incorrectamente la longitud del Tag a partir del Authentication Tag real proporcionado en el JWE. El especificación establece que se debe aplicar una longitud fija de 16 octetos. Por lo tanto, este bug permite a un atacante proporcionar un Authentication Tag truncado y modificar el JWE en consecuencia. Los usuarios deben actualizar a una versión >= 0.6.2.2. Los usuarios que no puedan realizar la actualización deberían evitar utilizar cifrado AES-GCM y reemplazarlo por otro algoritmo de cifrado (por ejemplo, AES-CBC).

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub, Inc.

Reservar

2023-07-06

Divulgación

2023-07-15

Moderación

aceptado

Artículo

VDB-234219

CPE

listo

EPSS

0.00600

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!