CVE-2026-48523 in pyjwtinformação

Sumário

de VulDB • 29/05/2026

PyJWT é uma implementação de JSON Web Token em Python. Da versão 2.9.0 à 2.12.1, ocorre uma violação da allow-list (lista de permissão) de algoritmos no lado do verificador quando jwt.decode() ou jwt.decode_complete() são chamados com uma chave PyJWK. O cabeçalho alg do token é verificado contra a allow-list de algoritmos fornecida pelo chamador, mas a verificação da assinatura é realizada com o algoritmo associado ao objeto PyJWK, em vez do algoritmo do cabeçalho. Um atacante que controle a chave privada de um JWK/JWKS registrado pode assinar com um algoritmo não permitido, anunciar um algoritmo permitido no cabeçalho JWT e ainda assim ser aceito. O problema afeta o fluxo documentado PyJWKClient.get_signing_key_from_jwt(...). Esta vulnerabilidade foi corrigida na versão 2.13.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

21/05/2026

Divulgação

28/05/2026

Moderação

aceite

Entrada

VDB-366777

CPE

pronto

EPSS

0.00014

KEV

não

Atividades

baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-48523
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-48523
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-48523/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!