CVE-2023-37464 in cjoseinformazioni

Riassunto

di VulDB • 11/07/2026

OpenIDC/cjose è una libreria C che implementa Javascript Object Signing and Encryption (JOSE). La routine di decrittazione AES GCM utilizza in modo errato la lunghezza del Tag dal valore effettivo dell'Authentication Tag fornito nel JWE. Lo standard specifica che deve essere applicata una lunghezza fissa di 16 octet. Di conseguenza, questo bug consente a un attaccante di fornire un Authentication Tag troncato e di modificare il JWE di conseguenza. Gli utenti dovrebbero effettuare l'aggiornamento a una versione >= 0.6.2.2. Gli utenti che non possono effettuare l'upgrade dovrebbero evitare di utilizzare la crittografia AES GCM e sostituirla con un altro algoritmo di cifratura (ad esempio, AES CBC).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub, Inc.

Prenotare

06/07/2023

Divulgazione

15/07/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00600

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!