CVE-2023-23928 in reason-jose
摘要
由 VulDB • 2026-07-13
reason-jose 是一个基于 ReasonML 和 OCaml 的 JOSE(JSON Object Signing and Encryption)实现。`Jose.Jws.validate` 函数未对 HS256 签名进行验证。如果服务未执行额外的检查,这将导致 JWS 头部和数据载荷数据被篡改。此类篡改可能使使用 reason-jose 的应用程序面临授权绕过风险。依赖 JWS 声明断言来强制执行安全边界的应用程序可能会受到权限提升漏洞的影响。该问题已在版本 0.8.2 中修复。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.