CVE-2023-23928 in reason-josethông tin

Tóm tắt

Bởi VulDB • 06/07/2026

reason-jose là một triển khai JOSE bằng ReasonML và OCaml. `Jose.Jws.validate` không kiểm tra chữ ký HS256. Điều này cho phép giả mạo dữ liệu tiêu đề (header) và phần tải trọng (payload) của JWS nếu dịch vụ không thực hiện các kiểm tra bổ sung. Việc giả mạo như vậy có thể khiến các ứng dụng sử dụng reason-jose dễ bị bỏ qua xác thực ủy quyền (authorization bypass). Các ứng dụng dựa vào việc khẳng định các yêu cầu (claims) trong JWS để áp đặt ranh giới bảo mật có thể dễ bị tấn công nâng cấp đặc quyền (privilege escalation). Vấn đề này đã được vá ở phiên bản 0.8.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

19/01/2023

Tiết lộ

01/02/2023

Kiểm duyệt

được chấp nhận

EPSS

0.00459

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!