CVE-2026-34240 in joseजानकारी

सारांश

द्वारा VulDB • 03/06/2026

JOSE एक Javascript Object Signing and Encryption (JOSE) लाइब्रेरी है। संस्करण 0.3.5+1 से पहले, jose में एक कमजोरी के कारण प्रमाणीकृत नहीं किए गए रिमोट आक्रामक को JOSE हेडर (jwk) में एम्बेडेड कुंजी का उपयोग करके वैध JWS/JWT टोकन की नकल करने की अनुमति मिल सकती थी। यह कमजोरी इसलिए मौजूद है क्योंकि कुंटी चयन हेडर-प्रदान किए गए jwk को सत्यापन उम्मीदवार के रूप में मान सकता था, भले ही वह कुंजी विश्वसनीय कुंजी स्टोर में उपस्थित न हो। चूंकि JOSE हेडर्स अविश्वसनीय इनपुट हैं, एक आक्रामक टोकन पेलोड बनाकर, हेडर में अपने नियंत्रण वाले सार्वजनिक कुंजी को एम्बेडेड करके और मेल खाने वाली निजी कुंजी के साथ हस्ताक्षर करके इसका शोषण कर सकता है। टोकन सत्यापन के लिए प्रभावित संस्करणों का उपयोग करने वाले अनुप्रयोग प्रभावित हैं। यह मुद्दा संस्करण 0.3.5+1 में ठीक किया गया था। इसके लिए एक कार्यसिद्धांत हेडर jwk उपस्थित होने पर टोकन को अस्वीकार करना है, जब तक कि वह jwk अनुप्रयोग के विश्वसनीय कुंजी स्टोर में पहले से मौजूद किसी कुंजी से मेल न खाता हो।

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

जिम्मेदार

GitHub M

आरक्षित करना

26/03/2026

प्रकटीकरण

31/03/2026

संयम

स्वीकृत

प्रविष्टि

VDB-354436

CPE

तैयार

CWE

CWE-347 (पुष्टि की गई)

CVSS

7.5 (CNA)

EPSS

0.00012

KEV

नहीं

गतिविधियाँ

बहुत कम

स्रोत

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-34240
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-34240
CVE Details	https://www.cvedetails.com/cve/CVE-2026-34240/

◂ पिछला सिंहावलोकन अगला ▸

Might our Artificial Intelligence support you?

Check our Alexa App!