CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-48525

Medium
Published: NVD NIST

Summary

PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.8.0 do 2.12.1, podczas weryfikacji odłączonych tokenów JWS z użyciem opcji unencoded-payload, PyJWT wykonuje dekodowanie Base64URL segmentu ładunku, co może prowadzić do ataku DoS.

Risk Assessment

Atakujący może dostarczyć dowolnie dużą wartość Base64URL, co prowadzi do nadmiernego obciążenia CPU i alokacji pamięci, nawet przy nieprawidłowym podpisie. To stwarza wektor DoS dla punktów końcowych weryfikujących odłączone JWS przy użyciu PyJWT.

Recommendation

Vulnerability data from NVD (NIST) · CISA KEV · EPSS