Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en confusion/algorithm en el componente JWS en la biblioteca JOSE PHP de Gree Inc (CVE-2016-5431)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-327 Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
07/08/2019
Última modificación:
03/03/2023

Descripción

La biblioteca JOSE PHP de Gree Inc. anterior a versión 2.2.0, incluyéndola, es vulnerable a la sustitución de claves de confusion/algorithm en el componente JWS, resultando en la omisión de la comprobación de firma por medio de tokens diseñados.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:php_jose_project:php_jose:*:*:*:*:*:*:*:* 2.2.1 (excluyendo)


Referencias a soluciones, herramientas e información