erlang-jose 因大 p2c 值导致拒绝服务漏洞分析

漏洞概述

CVE ID: CVE-2023-50966
GHSA ID: GHSA-9mg4-v392-8j68
严重程度: 中等 (CVSS 评分 5.3)
受影响版本: < 1.11.7
修复版本: 1.11.7

技术细节

erlang-jose（也称为 Erlang 和 Elixir 的 JOSE）在 1.11.6 及之前版本中存在安全漏洞，攻击者可通过在 JOSE 头部中使用大的 p2c（PBES2 Count）值导致拒绝服务攻击。

漏洞原理

该漏洞属于不受控制的资源消耗（CWE-400）类型，攻击者能够通过特制的 JOSE 头部中的 p2c 参数，导致系统 CPU 资源被大量消耗，最终造成服务不可用。

CVSS v3.1 指标

• 攻击向量: 网络 (AV:N)
• 攻击复杂度: 低 (AC:L)
• 所需权限: 无 (PR:N)
• 用户交互: 无 (UI:N)
• 影响范围: 未改变 (S:U)
• 机密性影响: 无 (C:N)
• 完整性影响: 无 (I:N)
• 可用性影响: 低 (A:L)

影响范围

该漏洞影响所有使用 erlang-jose 库 1.11.6 及之前版本的 Erlang 和 Elixir 应用程序。

修复方案

升级到 erlang-jose 1.11.7 或更高版本，该版本已修复此漏洞。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2023-50966
• https://github.com/P3ngu1nW/CVE_Request/blob/main/erlang-jose.md
• https://github.com/potatosalad/erlang-jose
• https://hexdocs.pm/jose/JOSE.html