CVE-2026-34986 in go-jose정보

요약

\~에 의해 VulDB • 2026. 06. 14.

Go JOSE는 Go에서 Javascript Object Signing and Encryption 표준 세트를 구현한 것으로, JSON Web Encryption(JWE), JSON Web Signature(JWS) 및 JSON Web Token(JWT) 표준에 대한 지원을 포함합니다. 버전 4.1.4 이전과 3.0.5 이전에서는 alg 필드가 키 래핑 알고리즘(KW로 끝나는 알고리즘이지만 A128GCMKW, A192GCMKW 및 A256GCMKW는 제외)을 나타내고 encrypted_key 필드가 비어 있을 경우 JSON Web Encryption(JWE) 객체를 복호화하려고 할 때 패닉이 발생합니다. 이 패닉은 key_wrap.go의 cipher.KeyUnwrap()에서 encrypted_key 길이를 기반으로 0 또는 음수 길이의 슬라이스를 할당하려다 발생합니다. 해당 코드 경로는 ParseEncrypted(), ParseEncryptedJSON(), ParseEncryptedCompact()를 통해 도달 가능하며, 그 후 결과 객체에 대해 Decrypt()가 호출됩니다. 여기서 파싱 함수는 허용된 키 알고리즘 목록을 받습니다. 만약 허용된 키 알고리즘에 어떤 키 래핑 알고리즘도 포함되어 있지 않으면 파싱이 실패하며 애플리케이션에는 영향을 미치지 않습니다. 이 패닉은 16바이트보다 짧은 임의의 ciphertext 파라미터로 cipher.KeyUnwrap()을 직접 호출함으로써도 도달 가능하지만, 해당 함수를 직접 호출하는 경우는 덜 일반적입니다. 이러한 패닉은 서비스 거부(Denial of Service)로 이어질 수 있습니다. 이 취약점은 버전 4.1.4 및 3.0.5에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 31.

모더레이션

수락

항목

VDB-355565

EPSS

0.00651

출처

Might our Artificial Intelligence support you?

Check our Alexa App!