CVE-2023-23928 in reason-jose
Sumário
de VulDB • 13/07/2026
reason-jose é uma implementação JOSE em ReasonML e OCaml. `Jose.Jws.validate` não verifica assinaturas HS256. Isso permite a manipulação dos dados do cabeçalho e da carga útil (payload) de JWS se o serviço não realizar verificações adicionais. Essa manipulação pode expor aplicações que usam reason-jose a uma violação de autorização. Aplicações que dependem da afirmação das reivindicações (claims) de JWS para impor limites de segurança podem estar vulneráveis à escalada de privilégios. Este problema foi corrigido na versão 0.8.2.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.