anonhaven

CVE-2026-33204

HIGH CVSS 3.1: 7,5
Обновлено 20 марта 2026
PHP
Параметр Значение
CVSS 7,5 (HIGH)
Устранено в версии 1.1.1
Тип уязвимости CWE-400 (Неконтролируемое потребление ресурсов)
Поставщик PHP
Публичный эксплойт Нет

SimpleJWT — это простая библиотека веб-токенов JSON, написанная на PHP. До версии 1.1.1 злоумышленник, не прошедший проверку подлинности, мог выполнить отказ в обслуживании посредством подделки заголовка JWE при использовании алгоритмов PBES2. Затронуты приложения, которые вызывают JWE::decrypt() на JWE, контролируемых злоумышленником, с использованием алгоритмов PBES2.

Эта проблема исправлена ​​в версии 1.1.1.

Показать оригинальное описание (EN)

SimpleJWT is a simple JSON web token library written in PHP. Prior to version 1.1.1, an unauthenticated attacker can perform a Denial of Service via JWE header tampering when PBES2 algorithms are used. Applications that call JWE::decrypt() on attacker-controlled JWEs using PBES2 algorithms are affected. This issue has been patched in version 1.1.1.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-400 Uncontrolled Resource Consumption (Неконтролируемое потребление ресурсов)

Ссылки 2

https://github.com/kelvinmo/simplejwt/releases/tag/v1.1.1
security-advisories@github.com
https://github.com/kelvinmo/simplejwt/security/advisories/GHSA-xw36-67f8-339x
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-4510

PHP

5,3

CVE-2026-4509

PHP

5,3

CVE-2026-33238

PHP

4,3

CVE-2026-33237

PHP

5,5

CVE-2026-4508

PHP

6,9