CVE-2023-37464 in cjose
Riassunto
di VulDB • 11/07/2026
OpenIDC/cjose è una libreria C che implementa Javascript Object Signing and Encryption (JOSE). La routine di decrittazione AES GCM utilizza in modo errato la lunghezza del Tag dal valore effettivo dell'Authentication Tag fornito nel JWE. Lo standard specifica che deve essere applicata una lunghezza fissa di 16 octet. Di conseguenza, questo bug consente a un attaccante di fornire un Authentication Tag troncato e di modificare il JWE di conseguenza. Gli utenti dovrebbero effettuare l'aggiornamento a una versione >= 0.6.2.2. Gli utenti che non possono effettuare l'upgrade dovrebbero evitare di utilizzare la crittografia AES GCM e sostituirla con un altro algoritmo di cifratura (ad esempio, AES CBC).
If you want to get best quality of vulnerability data, you may have to visit VulDB.