Erlang-JOSE库因大p2c值存在拒绝服务漏洞

Erlang-JOSE库在1.11.7之前版本存在安全漏洞,攻击者可通过在JOSE头部设置大型p2c值导致CPU资源耗尽,造成拒绝服务攻击。该漏洞被评定为中等严重程度。

erlang-jose 因大型 p2c 值存在拒绝服务漏洞

漏洞概述

Erlang-JOSE(也称为 Erlang 和 Elixir 的 JOSE)1.11.6 及之前版本存在安全漏洞,攻击者可通过在 JOSE 头部设置大型 p2c(PBES2 Count)值导致 CPU 资源消耗,造成拒绝服务攻击。

技术细节

  • 漏洞类型:拒绝服务(CPU 消耗)
  • 攻击向量:网络
  • 攻击复杂度:低
  • 所需权限:无
  • 用户交互:无
  • 影响范围:未改变
  • 机密性影响:无
  • 完整性影响:无
  • 可用性影响:低

影响版本

  • 受影响版本:< 1.11.7
  • 已修复版本:1.11.7

严重程度

  • CVSS 评分:5.3(中等)
  • EPSS 评分:0.019%(第4百分位)

相关资源

  • CVE ID:CVE-2023-50966
  • GHSA ID:GHSA-9mg4-v392-8j68
  • 源代码仓库:potatosalad/erlang-jose
  • 修复提交:potatosalad/erlang-jose@718d213

弱点分类

  • CWE-400:未受控制的资源消耗
  • 产品未能正确控制有限资源的分配和维护,使攻击者能够影响资源消耗量,最终导致可用资源耗尽。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次