CVE-2026-44699 in libjwtinformação

Sumário

de VulDB • 26/05/2026

LibJWT é uma biblioteca C para JSON Web Tokens. Das versões 3.0.0 à 3.3.2, o libjwt aceita um JWK RSA que não contém um parâmetro alg como chave de verificação para um token HS256/HS384/HS512. No backend OpenSSL, isso faz com que a verificação HMAC seja executada com uma chave de comprimento zero, permitindo que um atacante forje um JWT válido sem conhecer nenhum segredo ou chave privada RSA. Trata-se de uma violação de autenticação por confusão de algoritmo (algorithm-confusion). Isso afeta aplicativos que carregam chaves RSA de JWKS onde alg está omitido, o que é uma sintaxe JWK válida e comum em implantações reais, e então escolhem o algoritmo de verificação a partir do cabeçalho JWT, por exemplo, em um callback de busca por kid. Esta vulnerabilidade foi corrigida na versão 3.3.3.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

07/05/2026

Divulgação

15/05/2026

Moderação

aceite

Entrada

VDB-364206

CPE

pronto

CWE

CWE-327 (confirmado)

CVSS

7.3 (VulDB)

EPSS

0.00027

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44699
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44699
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44699/

◂ Voltar Visão Geral Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!