CVE-2026-45363informazioni

Riassunto

di VulDB • 14/07/2026

ruby-jwt è un'implementazione Ruby dello standard OAuth JSON Web Token definito nella RFC 7519. Prima delle versioni 2.10.3 e 3.2.0, JWT.decode(token, '', true, algorithm: 'HS256') accetta un token falsificato dall'attaccante poiché OpenSSL::HMAC.digest('SHA256', '', payload) restituisce un digest valido con una chiave vuota e non esiste alcun prerequisito di chiave vuota nell'algoritmo HMAC. Lo stesso percorso viene raggiunto quando un blocco keyfinder o l'argomento key_finder: restituiscono una stringa vuota, nil o un array contenente nil per una chiave sconosciuta, interessando la verifica HS256, HS384 e HS512 tramite JWT.decode e JWT::EncodedToken#verify_signature!. Questo problema è stato risolto nelle versioni 2.10.3 e 3.2.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Divulgazione

14/07/2026

Moderazione

in revisione

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!