Katalog CVE

CVE-2026-48523

Średnie
Opublikowano: NVD NIST

Streszczenie

PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.9.0 do 2.12.1 występuje luka, która pozwala na obejście listy dozwolonych algorytmów weryfikacji, gdy wywoływane są funkcje jwt.decode() lub jwt.decode_complete() z kluczem PyJWK.

Ocena ryzyka

Atakujący, który kontroluje zarejestrowany klucz prywatny JWK/JWKS, może podpisać token z użyciem niedozwolonego algorytmu, co prowadzi do akceptacji tokenu mimo niezgodności algorytmu. To stwarza poważne ryzyko dla integralności i bezpieczeństwa systemu.

Rekomendacja

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS