jose vulnerable to resource exhaustion via specifically crafted JWE with compressed plaintext 漏洞信息(CVE-2024-28176)

一、漏洞 CVE-2024-28176 基础信息

漏洞标题

Jose 可能会因精心构造的 JWE（带压缩明文）而导致资源耗尽。

来源：AIGC 神龙大模型

漏洞描述信息

Jose是JavaScript模块，用于JSON对象的签名和加密，支持JSON Web Token（JWT）、JSON Web Signature（JWS）、JSON Web Encryption（JWE）、JSON Web Key（JWK）、JSON Web Key Set（JWKS）等。已识别到JSON Web Encryption (JWE) 解密接口中的一个漏洞，特别是与在解密后对其明文进行解压缩的支持有关。在某些条件下，在执行JWE Decryption操作时，用户的环境可能会消耗不合理的CPU时间或内存。这个问题已在2.0.7和4.15.5版本中得到修补。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

来源：AIGC 神龙大模型

漏洞类别

未加控制的资源消耗(资源穷尽)

来源：AIGC 神龙大模型

漏洞标题

jose vulnerable to resource exhaustion via specifically crafted JWE with compressed plaintext

来源：美国国家漏洞数据库 NVD

漏洞描述信息

jose is JavaScript module for JSON Object Signing and Encryption, providing support for JSON Web Tokens (JWT), JSON Web Signature (JWS), JSON Web Encryption (JWE), JSON Web Key (JWK), JSON Web Key Set (JWKS), and more. A vulnerability has been identified in the JSON Web Encryption (JWE) decryption interfaces, specifically related to the support for decompressing plaintext after its decryption. Under certain conditions it is possible to have the user's environment consume unreasonable amount of CPU time or memory during JWE Decryption operations. This issue has been patched in versions 2.0.7 and 4.15.5.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

未加控制的资源消耗(资源穷尽)

来源：美国国家漏洞数据库 NVD

漏洞标题

jose 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

jose是用于 JSON 对象签名和加密的 JavaScript 模块。 jose 2.0.7 和 4.15.5 之前版本存在安全漏洞，该漏洞源于允许攻击者通过特制的带有压缩明文的 JWE 耗尽资源。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-28176 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2024-28176 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-28176 的公开POC

三、漏洞 CVE-2024-28176 的情报信息

一、漏洞 CVE-2024-28176 基础信息