Vulnerabilidad en python-jose (CVE-2024-33664)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
26/04/2024
Última modificación:
02/09/2025
Descripción
python-jose hasta la versión 3.3.0 permite a los atacantes provocar una denegación de servicio (consumo de recursos) durante una decodificación a través de un token JSON Web Encryption (JWE) manipulado con una alta relación de compresión, también conocido como una "bomba JWT". Esto es similar a CVE-2024-21319.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:python-jose_project:python-jose:*:*:*:*:*:*:*:* | 3.3.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/mpdavis/python-jose/issues/344
- https://github.com/mpdavis/python-jose/pull/345
- https://www.vicarius.io/vsociety/posts/jwt-bomb-in-python-jose-cve-2024-33664
- https://github.com/mpdavis/python-jose/issues/344
- https://github.com/mpdavis/python-jose/pull/345
- https://www.vicarius.io/vsociety/posts/jwt-bomb-in-python-jose-cve-2024-33664