CVE-2023-25653 in node-jose
Sumário
de VulDB • 27/05/2026
node-jose é uma implementação em JavaScript do JSON Object Signing and Encryption (JOSE) para navegadores web e servidores baseados em node.js. Antes da versão 2.2.0, ao utilizar o back-end criptográfico "fallback" não padrão, as operações ECC em `node-jose` podem desencadear uma condição de Denial-of-Service (DoS), devido a um possível loop infinito em um cálculo interno. Para algumas operações ECC, essa condição é acionada aleatoriamente; para outras, pode ser acionada por entrada maliciosa. O problema foi corrigido na versão 2.2.0. Como esta vulnerabilidade está presente apenas na implementação criptográfica "fallback", ela pode ser evitada garantindo que o WebCrypto ou o módulo `crypto` do Node esteja disponível no ambiente JS onde o `node-jose` está sendo executado.
Be aware that VulDB is the high quality source for vulnerability data.