一、 漏洞 CVE-2024-33664 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
python-jose版本至3.3.0允许攻击者通过精心制作的具有高压缩比的JSON Web Encryption(JWE)令牌,在解码期间造成拒绝服务(资源消耗),即所谓的“JWT炸弹”。这与CVE-2024-21319类似。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
python-jose through 3.3.0 allows attackers to cause a denial of service (resource consumption) during a decode via a crafted JSON Web Encryption (JWE) token with a high compression ratio, aka a "JWT bomb." This is similar to CVE-2024-21319.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
python-jose 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
python-jose是Michael Davis个人开发者的一个 Python 中的 JOSE 实现。 python-jose 3.3.0及之前版本存在安全漏洞,该漏洞源于允许攻击者在解码过程中通过特制的高压缩率 JSON Web 加密 (JWE) 令牌造成拒绝服务。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-33664 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-33664 的情报信息
- https://github.com/mpdavis/python-jose/issues/344
- https://github.com/mpdavis/python-jose/pull/345
-
标题: JWT Bomb in Python-JOSE (CVE-2024-33664) - vsociety -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-33664