漏洞标题
N/A
漏洞描述信息
在4.36之前,在JOSE+JWT中未确保公共x和y坐标在指定的曲线上,因此继续进行ECKey构造,这导致攻击者可以在缺少JCE供应商适用的曲线验证的环境中进行无效曲线攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Nimbus JOSE+JWT before 4.36 proceeds with ECKey construction without ensuring that the public x and y coordinates are on the specified curve, which allows attackers to conduct an Invalid Curve Attack in environments where the JCE provider lacks the applicable curve validation.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Nimbus JOSE+JWT 安全漏洞
漏洞描述信息
Nimbus JOSE+JWT是一个开源的Java库。该库用于创建、检查、序列化和解析JSON Web签名对象和JSON Web加密对象等。 Nimbus JOSE+JWT 4.36之前的版本中存在安全漏洞。攻击者可利用该漏洞实施Invalid Curve攻击。
CVSS信息
N/A
漏洞类别
授权问题