anonhaven

CVE-2026-34240

HIGH CVSS 3.1: 7,5 EPSS 0.01%
Обновлено 6 апреля 2026
Appsup-Dart
Параметр Значение
CVSS 7,5 (HIGH)
Уязвимые версии до 0.3.5\+1
Устранено в версии 0.3.5
Тип уязвимости CWE-347 (Некорректная проверка подписи)
Поставщик Appsup-Dart
Публичный эксплойт Нет

JOSE — это библиотека подписи и шифрования объектов Javascript (JOSE). До версии 0.3.5+1 уязвимость в jose могла позволить неаутентифицированному удаленному злоумышленнику подделать действительные токены JWS/JWT с помощью ключа, встроенного в заголовок JOSE (jwk). Уязвимость существует, поскольку при выборе ключа может рассматриваться jwk, предоставленный в заголовке, как кандидат на проверку, даже если этот ключ не присутствует в доверенном хранилище ключей.

Поскольку заголовки JOSE являются ненадежными входными данными, злоумышленник может воспользоваться этим, создав полезную нагрузку токена, внедрив контролируемый злоумышленником открытый ключ в заголовок и подписав соответствующий закрытый ключ. Это затронет приложения, использующие уязвимые версии для проверки токена. Эта проблема исправлена ​​в версии 0.3.5+1.

Обходной путь этой проблемы заключается в отклонении токенов, в которых присутствует заголовок jwk, если только этот jwk не соответствует ключу, уже присутствующему в доверенном хранилище ключей приложения.

Показать оригинальное описание (EN)

JOSE is a Javascript Object Signing and Encryption (JOSE) library. Prior to version 0.3.5+1, a vulnerability in jose could allow an unauthenticated, remote attacker to forge valid JWS/JWT tokens by using a key embedded in the JOSE header (jwk). The vulnerability exists because key selection could treat header-provided jwk as a verification candidate even when that key was not present in the trusted key store. Since JOSE headers are untrusted input, an attacker could exploit this by creating a token payload, embedding an attacker-controlled public key in the header, and signing with the matching private key. Applications using affected versions for token verification are impacted. This issue has been patched in version 0.3.5+1. A workaround for this issue involves rejecting tokens where header jwk is present unless that jwk matches a key already present in the application's trusted key store.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-347 Improper Verification of Cryptographic Signature (Некорректная проверка подписи)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Appsup-Dart Jose
cpe:2.3:a:appsup-dart:jose:*:*:*:*:*:*:*:*
 0.3.5\+1

Ссылки 2

https://github.com/appsup-dart/jose/commit/b07799aac1f56a9a21483feac026272aab30…
security-advisories@github.com
https://github.com/appsup-dart/jose/security/advisories/GHSA-vm9r-h74p-hg97
security-advisories@github.com
Share Post Share Share Share