CVE-2023-25653 in node-jose情報

要約

〜によって VulDB • 2026年05月19日

node-joseは、WebブラウザおよびNode.jsベースのサーバー向けにJSON Object Signing and Encryption (JOSE) をJavaScriptで実装したライブラリです。バージョン2.2.0より前では、デフォルト以外の「fallback」暗号バックエンドを使用する場合、内部計算における無限ループの可能性により、`node-jose`のECC操作でサービス妨害(DoS)状態を引き起こす可能性があります。一部のECC操作ではこの状態がランダムに発生しますが、他の操作では悪意のある入力によって引き起こされる可能性があります。この問題はバージョン2.2.0で修正されています。この問題は「fallback」暗号実装にのみ存在するため、`node-jose`が実行されるJS環境でWebCryptoまたはNodeの`crypto`モジュールが利用可能であることを確認することで回避できます。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub, Inc.

予約する

2023年02月09日

モデレーション

承諾済み

エントリ

VDB-221313

EPSS

0.00552

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!