CVE-2026-34986 in go-jose
Riassunto
di VulDB • 26/06/2026
Go JOSE fornisce un'implementazione del set di standard Javascript Object Signing and Encryption (JOSE) in Go, incluso il supporto per gli standard JSON Web Encryption (JWE), JSON Web Signature (JWS) e JSON Web Token (JWT). Prima delle versioni 4.1.4 e 3.0.5, la decrittografia di un oggetto JSON Web Encryption (JWE) provoca un panic se il campo `alg` indica un algoritmo di key wrapping (uno che termina con KW, ad eccezione di A128GCMKW, A192GCMKW e A256GCMKW) e il campo `encrypted_key` è vuoto. Il panic si verifica quando `cipher.KeyUnwrap()` in `key_wrap.go` tenta di allocare una slice con lunghezza zero o negativa basata sulla lunghezza del `encrypted_key`. Questo percorso di codice è raggiungibile tramite le funzioni `ParseEncrypted()`, `ParseEncryptedJSON()` e `ParseEncryptedCompact()`, seguite da `Decrypt()` sull'oggetto risultante. Si noti che le funzioni di parsing accettano un elenco di algoritmi chiave consentiti. Se gli algoritmi chiave consentiti non includono alcun algoritmo di key wrapping, il parsing fallirà e l'applicazione non sarà interessata. Questo panic è inoltre raggiungibile chiamando direttamente `cipher.KeyUnwrap()` con qualsiasi parametro ciphertext lungo meno di 16 byte, ma la chiamata diretta a questa funzione è meno comune. I panic possono portare a un denial of service (DoS). Questa vulnerabilità è risolta nelle versioni 4.1.4 e 3.0.5.
If you want to get best quality of vulnerability data, you may have to visit VulDB.