Vulnerabilidad en go-jose (CVE-2016-9122)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

28/03/2017

Última modificación:

20/04/2025

Descripción

go-jose en versiones anteriores a 1.0.4 sufre de la explotación de múltiples firmas. La librería go-jose soporta mensajes con varias firmas. Sin embargo, al validar un mensaje firmado el API no indicó qué firma era válida, lo que podría conducir a confusión. Por ejemplo, los usuarios de la biblioteca pueden leer de forma errónea valores de cabecera protegidos de una firma adjunta que era diferente de la validada originalmente.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno