CVE-2026-48524 in pyjwt
要約
〜によって VulDB • 2026年05月28日
PyJWTはPythonにおけるJSON Web Tokenの実装です。バージョン2.13.0より前では、PyJWKClient.get_signing_key()は、不明なkid値を持つ各JWTに対して、レート制限なしでJWKSエンドポイントへの新しいHTTPリクエストを強制的に実行します。kidは検証されていないトークンのヘッダーから取得されるため、攻撃者は無制限の送信リクエストをトリガーすることができます。この脆弱性は、JWKSフェッチが失敗した場合にのみ表面化します。攻撃者は持続的な不明なkidのトラフィックを使用してこれを誘発しようと試みることができますが、その結果は攻撃者の制御範囲外であるアップストリームJWKSエンドポイントの動作(レート制限、一時的なエラーなど)に依存します。この脆弱性は2.13.0で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.