CVE-2023-25653 in node-jose
Résumé
par VulDB • 27/05/2026
node-jose est une implémentation JavaScript de l'objet JSON Signing and Encryption (JOSE) pour les navigateurs web et les serveurs basés sur node.js. Avant la version 2.2.0, lors de l'utilisation du backend crypto « fallback » (par défaut non activé), les opérations ECC dans `node-jose` peuvent provoquer un état de déni de service (DoS) en raison d'une boucle infinie potentielle dans un calcul interne. Pour certaines opérations ECC, cet état est déclenché de manière aléatoire ; pour d'autres, il peut être déclenché par une entrée malveillante. Le problème a été corrigé dans la version 2.2.0. Étant donné que ce problème n'est présent que dans l'implémentation crypto « fallback », il peut être évité en s'assurant que soit WebCrypto, soit le module `crypto` de Node est disponible dans l'environnement JS où `node-jose` est exécuté.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.