CVE-2023-23928 in reason-jose
Сводка
по VulDB • 13.07.2026
reason-jose — это реализация JOSE на языках ReasonML и OCaml. Функция `Jose.Jws.validate` не проверяет подписи HS256. Это позволяет изменять данные заголовка JWS (JWS header) и полезной нагрузки (payload), если сервис не выполняет дополнительные проверки. Подобное изменение данных может привести к обходу авторизации в приложениях, использующих reason-jose. Приложения, полагающиеся на утверждение заявлений JWS (JWS claims assertion) для обеспечения границ безопасности, могут быть уязвимы к повышению привилегий. Эта проблема исправлена в версии 0.8.2.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.