CVE-2023-25653 in node-joseinformação

Sumário

de VulDB • 27/05/2026

node-jose é uma implementação em JavaScript do JSON Object Signing and Encryption (JOSE) para navegadores web e servidores baseados em node.js. Antes da versão 2.2.0, ao utilizar o back-end criptográfico "fallback" não padrão, as operações ECC em `node-jose` podem desencadear uma condição de Denial-of-Service (DoS), devido a um possível loop infinito em um cálculo interno. Para algumas operações ECC, essa condição é acionada aleatoriamente; para outras, pode ser acionada por entrada maliciosa. O problema foi corrigido na versão 2.2.0. Como esta vulnerabilidade está presente apenas na implementação criptográfica "fallback", ela pode ser evitada garantindo que o WebCrypto ou o módulo `crypto` do Node esteja disponível no ambiente JS onde o `node-jose` está sendo executado.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub, Inc.

Reservar

09/02/2023

Divulgação

16/02/2023

Moderação

aceite

Entrada

VDB-221313

CPE

pronto

EPSS

0.00552

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!