jose4j is vulnerable to DoS via compressed JWE content · CVE-2024-29371 · GitHub Advisory Database

漏洞详情

包名： maven:org.bitbucket.b_c:jose4j

受影响版本： < 0.9.6 已修复版本： 0.9.6

描述

在jose4j 0.9.6之前的版本中，攻击者可以通过构造一个具有极高压缩比的恶意JSON Web加密（JWE）令牌来引发拒绝服务（DoS）情况。当服务器处理此令牌时，会在解压缩过程中导致大量的内存分配和处理时间消耗。

参考资料

• https://nvd.nist.gov/vuln/detail/CVE-2024-29371

• https://bitbucket.org/b_c/jose4j/commits/19a90a64c47bb07c4aa5462f1316d5c293d81fcf

发布时间线

• 由国家漏洞数据库发布： 2025年12月17日
• 发布至GitHub Advisory Database： 2025年12月17日
• 已审核： 2025年12月18日
• 最后更新： 2026年1月6日

严重性

高危

CVSS总体评分： 7.5 / 10

CVSS v3 基本指标：

• 攻击向量（AV）： 网络（N）
• 攻击复杂度（AC）： 低（L）
• 所需权限（PR）： 无（N）
• 用户交互（UI）： 无（N）
• 范围（S）： 未改变（U）
• 机密性影响（C）： 无（N）
• 完整性影响（I）： 无（N）
• 可用性影响（A）： 高（H）

CVSS向量字符串： CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

EPSS 分数： 0.033%（第9百分位）

缺陷

缺陷（CWE）： CWE-1259 - 安全令牌分配限制不当 系统级芯片（SoC）实现了安全令牌机制，以区分源自实体的交易允许或禁止的操作。然而，安全令牌的保护不当。

标识符

• CVE ID： CVE-2024-29371
• GHSA ID： GHSA-3677-xxcr-wjqv

源代码

https://bitbucket.org/b_c/jose4j/wiki/Home

致谢

分析师：ShichengRao