概要
JWT ライブラリ SimpleJWT に おいて、PBES2 アルゴリズム を 使用 する JWE ヘッダー の パラメータ を 改ざん する こと で、過剰 な リソース 消費 を 引き起こし、サービス 拒否(DoS)に 至る 脆弱性 が 存在 します。CWE-400(リソースの過剰な消費)に 分類 されます。
攻撃者 が JWE ヘッダー の PBES2 パラメータ(イテレーション 回数 など)を 極端 な 値 に 改ざん した トークン を 送信 する こと で、サーバー の CPU リソース を 枯渇 させる こと が 可能 です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 (High) |
| CWE | CWE-400(リソースの過剰な消費) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- SimpleJWT(1.1.1 未満)
修正バージョンと回避策
- 修正バージョン: SimpleJWT 1.1.1
- 暫定回避策: PBES2 アルゴリズム の 使用 を 避け、RSA や ECDH 等 の 鍵 ラッピング アルゴリズム を 使用。JWE ヘッダー の イテレーション 回数 に 上限 を 設定
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。