Katalog CVE

CVE-2026-48525

Średnie
Opublikowano: NVD NIST

Streszczenie

PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.8.0 do 2.12.1, podczas weryfikacji odłączonych tokenów JWS z użyciem opcji unencoded-payload, PyJWT wykonuje dekodowanie Base64URL segmentu ładunku, co może prowadzić do ataku DoS.

Ocena ryzyka

Atakujący może dostarczyć dowolnie dużą wartość Base64URL, co prowadzi do nadmiernego obciążenia CPU i alokacji pamięci, nawet przy nieprawidłowym podpisie. To stwarza wektor DoS dla punktów końcowych weryfikujących odłączone JWS przy użyciu PyJWT.

Rekomendacja

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS