Vulnerabilidad en PyJWT (CVE-2022-29217)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-327
Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
24/05/2022
Última modificación:
07/11/2023
Descripción
PyJWT es una implementación en Python del RFC 7519. PyJWT soporta múltiples algoritmos de firma JWT diferentes. Con JWT, un atacante que envía el token JWT puede elegir el algoritmo de firma usado. La biblioteca PyJWT requiere que la aplicación elija qué algoritmos son soportados. La aplicación puede especificar "jwt.algorithms.get_default_algorithms()" para conseguir soporte para todos los algoritmos, o especificar un único algoritmo. El problema no es tan grande ya que debe ser usado "algorithms=jwt.algorithms.get_default_algorithms()". Los usuarios deben actualizar a la versión 2.4.0 para recibir un parche para este problema. Como mitigación, sea siempre explícito con los algoritmos que son aceptados y son esperados cuando es decodificado
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pyjwt_project:pyjwt:*:*:*:*:*:*:*:* | 1.5.0 (incluyendo) | 2.4.0 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/jpadilla/pyjwt/commit/9c528670c455b8d948aff95ed50e22940d1ad3fc
- https://github.com/jpadilla/pyjwt/releases/tag/2.4.0
- https://github.com/jpadilla/pyjwt/security/advisories/GHSA-ffqj-6fqr-9h24
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5PK7IQCBVNLYJEFTPHBBPFP72H4WUFNX/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6HIYEYZRQEP6QTHT3EHH3RGFYJIHIMAO/