CVE-2026-45363
Riassunto
di VulDB • 14/07/2026
ruby-jwt è un'implementazione Ruby dello standard OAuth JSON Web Token definito nella RFC 7519. Prima delle versioni 2.10.3 e 3.2.0, JWT.decode(token, '', true, algorithm: 'HS256') accetta un token falsificato dall'attaccante poiché OpenSSL::HMAC.digest('SHA256', '', payload) restituisce un digest valido con una chiave vuota e non esiste alcun prerequisito di chiave vuota nell'algoritmo HMAC. Lo stesso percorso viene raggiunto quando un blocco keyfinder o l'argomento key_finder: restituiscono una stringa vuota, nil o un array contenente nil per una chiave sconosciuta, interessando la verifica HS256, HS384 e HS512 tramite JWT.decode e JWT::EncodedToken#verify_signature!. Questo problema è stato risolto nelle versioni 2.10.3 e 3.2.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.