go-jose hasta 2.6.2/3.0.2/4.0.0 JWE denegación de servicio

CVSS Puntuación meta temporalPrecio actual del exploit (≈)Puntuación de interés CTI
4.2$0-$5k0.00

Resumeninformación

Una vulnerabilidad clasificada como problemática ha sido encontrada en go-jose hasta 2.6.2/3.0.2/4.0.0. Resulta afectada una función desconocida dentro del componente JWE Handler. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase sconosciuta. Esta vulnerabilidad se registra como CVE-2024-28180. El ataque puede realizarse a distancia. No se encuentra disponible ningún exploit. Se sugiere actualizar el componente afectado.

Detallesinformación

Una vulnerabilidad clasificada como problemática fue encontrada en go-jose hasta 2.6.2/3.0.2/4.0.0. Una función desconocida del componente JWE Handler es afectada por esta vulnerabilidad. Los efectos exactos de un ataque exitoso no son conocidos. El resumen de CVE es:

El paquete jose tiene como objetivo proporcionar una implementación del conjunto de estándares de cifrado y firma de objetos Javascript. Un atacante podría enviar un JWE que contenga datos comprimidos que utilicen grandes cantidades de memoria y CPU cuando los descomprima Decrypt o DecryptMulti. Esas funciones ahora devuelven un error si los datos descomprimidos superan los 250 kB o 10 veces el tamaño comprimido (lo que sea mayor). Esta vulnerabilidad ha sido parcheada en las versiones 4.0.1, 3.0.3 y 2.6.3.

La vulnerabilidad fue publicada el 2024-03-09 con identificación GHSA-c5q2-7r4c-mv6g (confirmado). El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-28180. No se conoce los detalles técnicos ni hay ningún exploit disponible.

Para el scanner Nessus se dispone de un plugin ID 211175 (Fedora 41 : caddy (2024-bd8fe42929)), que puede ayudar a determinar la existencia del riesgo analizado.

Una actualización a la versión 2.6.3, 3.0.3 o 4.0.1 elimina esta vulnerabilidad. Aplicando el parche 0dd4dd541c665fb292d664f77604ba694726f298 es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.

La vulnerabilidad también está documentado en la base de datos Tenable (211175). Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Productoinformación

Nombre

Versión

Licencia

Sitio web

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 4.3
VulDB Puntuación meta temporal: 4.2

VulDB Puntuación base: 4.3
VulDB Puntuación temporal: 4.1
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CNA Puntuación base: 4.3
CNA Vector (GitHub, Inc.): 🔍

CVSSv2información

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplejidadAutenticaciónConfidencialidadIntegridadDisponibilidad
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Denegación de servicio
CWE: CWE-409 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔍
Estado: No está definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HoyDesbloquearDesbloquearDesbloquearDesbloquear

Nessus ID: 211175
Nessus Nombre: Fedora 41 : caddy (2024-bd8fe42929)

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: Actualización
Estado: 🔍

Hora de 0 días: 🔍

Actualización: go-jose 2.6.3/3.0.3/4.0.1
Parche: 0dd4dd541c665fb292d664f77604ba694726f298

Línea de tiempoinformación

2024-03-06 🔍
2024-03-09 +3 días 🔍
2024-03-09 +0 días 🔍
2024-11-17 +253 días 🔍

Fuentesinformación

Producto: github.com

Aviso: GHSA-c5q2-7r4c-mv6g
Estado: Confirmado

CVE: CVE-2024-28180 (🔍)
GCVE (CVE): GCVE-0-2024-28180
GCVE (VulDB): GCVE-100-256297

Artículoinformación

Fecha de creación: 2024-03-09 07:46
Actualizado: 2024-11-17 01:36
Cambios: 2024-03-09 07:46 (51), 2024-06-12 04:55 (15), 2024-11-17 01:36 (3)
Completo: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Discusión

Sin comentarios aún. Idiomas: es + pt + en.

Por favor, inicie sesión para comentar.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!