Katalog CVE
CVE-2026-48525
ŚrednieOpublikowano: —NVD NIST
Streszczenie
PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.8.0 do 2.12.1, podczas weryfikacji odłączonych tokenów JWS z użyciem opcji unencoded-payload, PyJWT wykonuje dekodowanie Base64URL segmentu ładunku, co może prowadzić do ataku DoS.
Ocena ryzyka
Atakujący może dostarczyć dowolnie dużą wartość Base64URL, co prowadzi do nadmiernego obciążenia CPU i alokacji pamięci, nawet przy nieprawidłowym podpisie. To stwarza wektor DoS dla punktów końcowych weryfikujących odłączone JWS przy użyciu PyJWT.

