Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en cjwt (CVE-2024-54150)

Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/12/2024
Última modificación:
15/04/2026

Descripción

cjwt es una implementación de token web JSON (JWT) en C. La confusión de algoritmos ocurre cuando un sistema verifica incorrectamente el tipo de firma utilizada, lo que permite a los atacantes explotar la falta de distinción entre los métodos de firma. Si el sistema no diferencia entre un token firmado HMAC y un token firmado RS/EC/PS durante la verificación, se vuelve vulnerable a este tipo de ataque. Por ejemplo, un atacante podría crear un token con el campo alg establecido en "HS256" mientras que el servidor espera un algoritmo asimétrico como "RS256". El servidor podría usar por error el método de verificación incorrecto, como usar una clave pública como secreto HMAC, lo que lleva a un acceso no autorizado. Para RSA, la clave se puede calcular a partir de algunas firmas. Para Elliptic Curve (EC), se pueden recuperar dos claves potenciales de una firma. Esto se puede utilizar para eludir el mecanismo de firma si una aplicación depende de tokens firmados asimétricamente. Este problema se ha solucionado en la versión 2.3.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA

Referencias a soluciones, herramientas e información