pyjwt 中允许发行人字段部分匹配(CVE-2024-53861)
CVE编号
CVE-2024-53861
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-30
漏洞描述
PyJWT是一个Python中的JSON Web令牌实现。在版本2.10.0中引入了一个错误,导致在检查“iss”(发行者)时运行了错误的字符串比较。由于从`isinstance(issuer, list)`更改为`isinstance(issuer, Sequence)`,其中字符串也是Sequence的一种,因此使用了“in”来进行字符串比较。这导致检查了`if "abc" not in "__abcd__":`而不是正确的`if "abc" != "__abc__":`。虽然签名检查仍然存在,但在实际情况下,影响可能仅限于拒绝服务场景。此问题已在版本2.10.1中得到修复。建议所有用户进行升级,没有已知的解决方法来规避此漏洞。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论