CVE Catalog
CVE-2026-48523
MediumPublished: —NVD NIST
Summary
PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.9.0 do 2.12.1 występuje luka, która pozwala na obejście listy dozwolonych algorytmów weryfikacji, gdy wywoływane są funkcje jwt.decode() lub jwt.decode_complete() z kluczem PyJWK.
Risk Assessment
Atakujący, który kontroluje zarejestrowany klucz prywatny JWK/JWKS, może podpisać token z użyciem niedozwolonego algorytmu, co prowadzi do akceptacji tokenu mimo niezgodności algorytmu. To stwarza poważne ryzyko dla integralności i bezpieczeństwa systemu.

