漏洞概述

CVE-2023-50966是一个影响erlang-jose（也称为Erlang和Elixir的JOSE实现）库的中等严重性安全漏洞[citation:9]。该漏洞存在于1.11.6及之前的所有版本中[citation:3]。

技术细节与攻击原理

该漏洞的核心是不受控制的资源消耗（CWE-400）[citation:3][citation:5]。具体来说：

• 攻击向量：攻击者可以通过网络发起攻击，无需任何权限或用户交互[citation:1]。
• 触发方式：通过向目标系统发送一个包含超大p2c值的JOSE（JSON对象签名和加密）标头[citation:2][citation:9]。
• 造成后果：当erlang-jose库处理这个异常大的p2c（PBES2计数）值时，会进行高强度、耗时的计算，导致CPU使用率急剧上升，最终耗尽系统资源，引发拒绝服务（DoS）[citation:9]。

受影响版本与修复方案

• 受影响版本：所有 1.11.6 及之前 的erlang-jose版本[citation:3]。
• 已修复版本：官方已在 1.11.7 版本 中修复了此漏洞[citation:3]。后续版本（如1.11.10）也包含了该修复[citation:8]。
• 解决方案：用户应立即将erlang-jose库升级至1.11.7或更高版本[citation:9]。

严重性评估

根据通用漏洞评分系统（CVSS），此漏洞的基础评分为5.3分，属于中等严重级别[citation:1][citation:9]。

• 攻击向量（AV）：网络（N）
• 攻击复杂度（AC）：低（L）
• 所需权限（PR）：无（N）
• 用户交互（UI）：无（N）
• 影响范围（S）：未改变（U）
• 影响：对机密性（C）和完整性（I）无影响，对可用性（A）有低影响[citation:1]。

其他相关信息

• 此漏洞由安全分析师 maennchen 发现并报告[citation:9]。
• 主要的修复提交记录在GitHub的 718d213 这次提交中[citation:3]。
• 截至2025年3月，一些Linux发行版（如Debian的某些版本）的软件仓库中可能仍未包含修补后的软件包，供应商表示不会提供补丁，因此用户需要关注上游修复[citation:1][citation:2]。