Vulnerabilidad en Authlib (CVE-2024-37568)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/06/2024
Última modificación:
15/08/2024
Descripción
La versión Authlib anterior a 1.3.1 tiene confusión de algoritmo con claves públicas asimétricas. A menos que se especifique un algoritmo en una llamada jwt.decode, se permite la verificación HMAC con cualquier clave pública asimétrica. (Esto es similar a CVE-2022-29217 y CVE-2024-33663).
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:authlib:authlib:*:*:*:*:*:*:*:* | 1.3.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/lepture/authlib/issues/654
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FHJI32SN4FNAUVNALVGOKWHNSQ6XS3M5/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/IZI7HYGN7VZAYFV6UV3SRLYF7QGERXIU/
- https://www.vicarius.io/vsociety/posts/algorithm-confusion-in-lepture-authlib-cve-2024-37568