漏洞标题
N/A
漏洞描述信息
go-jose在1.0.4之前版本中遭受了多签名的利用。go-jose库支持具有多个签名的消息。然而,在验证签名消息时,API并未指示哪个签名是有效的,这可能导致混淆。例如,库的用户可能会从附加的签名错误地读取保护头值,而这些签名与最初验证的签名不同。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
go-jose before 1.0.4 suffers from multiple signatures exploitation. The go-jose library supports messages with multiple signatures. However, when validating a signed message the API did not indicate which signature was valid, which could potentially lead to confusion. For example, users of the library might mistakenly read protected header values from an attached signature that was different from the one originally validated.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
go-jose 安全漏洞
漏洞描述信息
go-jose是一种用于实现JavaScript对象签名和加密的标准方法。 go-jose 1.0.4之前的版本中存在安全漏洞,该漏洞源于程序没有验证签名的有效性。攻击者可利用该漏洞读取未授权的数据。
CVSS信息
N/A
漏洞类别
授权问题