Reason-jose es una implementación de JOSE en ReasonML y OCaml
CVE-2023-23928: `Jose.Jws.validate` no verifica las firmas HS256. Esto permite la manipulación del encabezado JWS y los datos de carga útil si el servicio no realiza verificaciones adicionales. Dicha manipulación podría exponer las aplicaciones que utilizan Reason-Jose a la omisión de autorización.
Las aplicaciones que dependen de la aserción de reclamos de JWS para hacer cumplir los límites de seguridad pueden ser vulnerables a la escalada de privilegios. Este problema se ha corregido en la versión 0.8.2.
Paginas de referencia
- https://github.com/ulrikstrid/reason-jose/releases/tag/v0.8.2
- https://github.com/ulrikstrid/reason-jose/security/advisories/GHSA-7jj9-6qwv-wpm7
- https://github.com/ulrikstrid/reason-jose/commit/36cd724db3cbec121757624da49072386bd869e5
Otras referencias sobre vulnerabilidades CVE
- www.clasesordenador.com/dompdf/
- www.clasesordenador.com/easy-images-vulnerabilidad/
- www.clasesordenador.com/docker-fallos-de-seguridad/
- www.clasesordenador.com/sitefusion/
- www.clasesordenador.com/i-librarian-vulnerabilidad/
- www.clasesordenador.com/comfast-vulnerabilidad/
- www.clasesordenador.com/joplin-desktop-app/
- www.clasesordenador.com/apache-portable-runtime-apr/
- www.clasesordenador.com/identityiq/
- www.clasesordenador.com/enrutadores-netgear/
- www.clasesordenador.com/toshiba-storage-security-software/
- www.clasesordenador.com/octopus-server/
- www.clasesordenador.com/apache-linkis-incubating/
- www.clasesordenador.com/igss-data-server/
Aqui tienes la pagina principal de las vulnerabilidades de clasesordenador.com
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-04. Fecha publicación el 2023-02-04. Autor: Oscar olg Mapa del sitio Fuente: cve report