CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-48523

Medium
Published: NVD NIST

Summary

PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.9.0 do 2.12.1 występuje luka, która pozwala na obejście listy dozwolonych algorytmów weryfikacji, gdy wywoływane są funkcje jwt.decode() lub jwt.decode_complete() z kluczem PyJWK.

Risk Assessment

Atakujący, który kontroluje zarejestrowany klucz prywatny JWK/JWKS, może podpisać token z użyciem niedozwolonego algorytmu, co prowadzi do akceptacji tokenu mimo niezgodności algorytmu. To stwarza poważne ryzyko dla integralności i bezpieczeństwa systemu.

Recommendation

Vulnerability data from NVD (NIST) · CISA KEV · EPSS