CVE-2023-25653 in node-joseinformation

Résumé

par VulDB • 27/05/2026

node-jose est une implémentation JavaScript de l'objet JSON Signing and Encryption (JOSE) pour les navigateurs web et les serveurs basés sur node.js. Avant la version 2.2.0, lors de l'utilisation du backend crypto « fallback » (par défaut non activé), les opérations ECC dans `node-jose` peuvent provoquer un état de déni de service (DoS) en raison d'une boucle infinie potentielle dans un calcul interne. Pour certaines opérations ECC, cet état est déclenché de manière aléatoire ; pour d'autres, il peut être déclenché par une entrée malveillante. Le problème a été corrigé dans la version 2.2.0. Étant donné que ce problème n'est présent que dans l'implémentation crypto « fallback », il peut être évité en s'assurant que soit WebCrypto, soit le module `crypto` de Node est disponible dans l'environnement JS où `node-jose` est exécuté.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub, Inc.

Réserver

09/02/2023

Divulgation

16/02/2023

Modérer

accepté

Entrée

VDB-221313

CPE

prêt

EPSS

0.00552

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!