CVE-2024-29371

CVSS 7.5 HIGHEPSS 0.2%CWE-1259

En resumen

La biblioteca jose4j en versiones anteriores a la 0.9.6 es vulnerable a un ataque de denegación de servicio al procesar tokens criptografados maliciosos con compresión extrema. Un atacante puede enviar estos tokens para que el servidor consuma memoria y CPU excesivos, potencialmente causando fallos o bloqueos.

Detalle técnico

CVE-2024-29371 explota validación insuficiente de recursos durante la descompresión JWE en jose4j <0.9.6. Un atacante crea un token JWE con una razón de compresión excepcionalmente alta; cuando el servidor lo descomprime, el algoritmo se expande para consumir cantidades masivas de memoria y procesamiento, desencadenando DoS. No se requiere autenticación si la aplicación procesa tokens JWE no confiables.

Resumen generado y traducido por IA a partir de la descripción oficial.

In jose4j before 0.9.6, an attacker can cause a Denial-of-Service (DoS) condition by crafting a malicious JSON Web Encryption (JWE) token with an exceptionally high compression ratio. When this token is processed by the server, it results in significant memory allocation and processing time during decompression.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://bitbucket.org/b_c/jose4j/issues/220/vuln-zip-bomb-attack