anonhaven

CVE-2026-32597

HIGH CVSS 3.1: 7,5 EPSS 0.01%
Обновлено 19 марта 2026
Pyjwt_Project
Параметр Значение
CVSS 7,5 (HIGH)
Уязвимые версии до 2.12.0
Устранено в версии 2.12.0
Тип уязвимости CWE-863 (Неправильная авторизация), CWE-345 (Недостаточная проверка данных)
Поставщик Pyjwt_Project
Публичный эксплойт Нет

PyJWT — это реализация JSON Web Token на Python. До версии 2.12.0 PyJWT не проверяет параметр заголовка crit (критический), определенный в RFC 7515 §4.1.11. Когда токен JWS содержит расширения списка критических массивов, которые PyJWT не понимает, библиотека принимает токен, а не отклоняет его.

Это нарушает требование MUST в RFC. Эта уязвимость исправлена ​​в версии 2.12.0.

Показать оригинальное описание (EN)

PyJWT is a JSON Web Token implementation in Python. Prior to 2.12.0, PyJWT does not validate the crit (Critical) Header Parameter defined in RFC 7515 §4.1.11. When a JWS token contains a crit array listing extensions that PyJWT does not understand, the library accepts the token instead of rejecting it. This violates the MUST requirement in the RFC. This vulnerability is fixed in 2.12.0.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)
CWE-345 Insufficient Verification of Data (Недостаточная проверка данных)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Pyjwt_Project Pyjwt
cpe:2.3:a:pyjwt_project:pyjwt:*:*:*:*:*:*:*:*
 2.12.0

Ссылки 1

https://github.com/jpadilla/pyjwt/security/advisories/GHSA-752w-5fwx-jx9f
security-advisories@github.com
Share Post Share Share Share