Vulnerabilidad en JWX (CVE-2024-28122)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
09/03/2024
Última modificación:
05/12/2025
Descripción
JWX es un módulo Go que implementa varias tecnologías JWx (JWA/JWE/JWK/JWS/JWT, también conocidas como JOSE). Esta vulnerabilidad permite a un atacante con una clave pública confiable provocar una condición de denegación de servicio (DoS) mediante la creación de un token JSON Web Encryption (JWE) malicioso con una relación de compresión excepcionalmente alta. Este problema se solucionó en las versiones 1.2.29 y 2.0.21.
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:lestrrat-go:jwx:*:*:*:*:*:*:*:* | 1.2.29 (excluyendo) | |
| cpe:2.3:a:lestrrat-go:jwx:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.0.21 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/lestrrat-go/jwx/releases/tag/v1.2.29
- https://github.com/lestrrat-go/jwx/releases/tag/v2.0.21
- https://github.com/lestrrat-go/jwx/security/advisories/GHSA-hj3v-m684-v259
- https://github.com/lestrrat-go/jwx/releases/tag/v1.2.29
- https://github.com/lestrrat-go/jwx/releases/tag/v2.0.21
- https://github.com/lestrrat-go/jwx/security/advisories/GHSA-hj3v-m684-v259