CVE-2023-50966: erlang-jose 库因 p2c 值过大易受拒绝服务攻击

软件包: erlang-jose (Erlang/Elixir)

受影响版本: < 1.11.7

已修复版本: 1.11.7

漏洞描述: erlang-jose（也称为 Erlang 和 Elixir 的 JOSE 库）1.11.6 及更早版本存在一个漏洞，允许攻击者通过在 JOSE 头部中提供过大的 p2c（即 PBES2 计数）值，导致服务器 CPU 资源被大量消耗，从而引发拒绝服务（DoS）。

参考链接:

• https://nvd.nist.gov/vuln/detail/CVE-2023-50966
• https://github.com/P3ngu1nW/CVE_Request/blob/main/erlang-jose.md
• https://github.com/potatosalad/erlang-jose
• https://hexdocs.pm/jose/JOSE.html
• potatosalad/erlang-jose@718d213

漏洞详情发布日期: 2024年3月19日 (国家漏洞数据库) GitHub 咨询数据库发布日期: 2024年3月19日 审查日期: 2024年4月8日 最后更新日期: 2024年4月10日

严重等级: 中等 (CVSS 分数: 5.3)

CVSS v3.1 向量: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS v3 基础指标:

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 无
• 影响范围: 未改变
• 机密性影响: 无
• 完整性影响: 无
• 可用性影响: 低

EPSS 分数: 0.019% (第4百分位)

弱点: CWE-400 - 不受控制的资源消耗

CVE ID: CVE-2023-50966 GHSA ID: GHSA-9mg4-v392-8j68

源代码仓库: potatosalad/erlang-jose

致谢: maennchen (分析师)