Vulnerabilidad en Go JOSE (CVE-2025-27144)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/02/2025
Última modificación:
24/02/2025
Descripción
Go JOSE proporciona una implementación del conjunto de estándares de firma y cifrado de objetos Javascript en Go, que incluye compatibilidad con los estándares de cifrado web JSON (JWE), firma web JSON (JWS) y token web JSON (JWT). En las versiones de la rama 4.x anteriores a la versión 4.0.5, al analizar la entrada compacta JWS o JWE, Go JOSE podía utilizar memoria excesiva. El código utilizaba strings.Split(token, ".") para dividir tokens JWT, lo que es vulnerable al consumo excesivo de memoria al procesar tokens creados de forma malintencionada con una gran cantidad de caracteres ".". Un atacante podría aprovechar esto enviando numerosos tokens malformados, lo que provocaría el agotamiento de la memoria y una denegación de servicio. La versión 4.0.5 corrige este problema. Como workaround, las aplicaciones podrían validar previamente que los payloads pasados a Go JOSE no contengan una cantidad excesiva de caracteres ".".