CVE-2025-65015— joserfc 安全漏洞

EPSS 0.08% · P23 更新日 2025-11-20

新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2025-65015の基本情報

脆弱性情報

脆弱性についてご質問がありますか？Shenlongの分析が参考になるかご確認ください！

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル

joserfc has Possible Uncontrolled Resource Consumption Vulnerability Triggered by Logging Arbitrarily Large JWT Token Payloads

ソース: NVD (National Vulnerability Database)

脆弱性説明

joserfc is a Python library that provides an implementation of several JSON Object Signing and Encryption (JOSE) standards. In versions from 1.3.3 to before 1.3.5 and from 1.4.0 to before 1.4.2, the ExceededSizeError exception messages are embedded with non-decoded JWT token parts and may cause Python logging to record an arbitrarily large, forged JWT payload. In situations where a misconfigured — or entirely absent — production-grade web server sits in front of a Python web application, an attacker may be able to send arbitrarily large bearer tokens in the HTTP request headers. When this occurs, Python logging or diagnostic tools (e.g., Sentry) may end up processing extremely large log messages containing the full JWT header during the joserfc.jwt.decode() operation. The same behavior also appears when validating claims and signature payload sizes, as the library raises joserfc.errors.ExceededSizeError() with the full payload embedded in the exception message. Since the payload is already fully loaded into memory at this stage, the library cannot prevent or reject it. This issue has been patched in versions 1.3.5 and 1.4.2.

ソース: NVD (National Vulnerability Database)

CVSS情報

N/A

ソース: NVD (National Vulnerability Database)

脆弱性タイプ

不加限制或调节的资源分配

ソース: NVD (National Vulnerability Database)

脆弱性タイトル

joserfc 安全漏洞

ソース: CNNVD (China National Vulnerability Database)

脆弱性説明

joserfc是Authlib开源的一个Python库。 joserfc 1.3.3版本至1.3.5之前版本和1.4.0版本至1.4.2之前版本存在安全漏洞，该漏洞源于ExceededSizeError异常消息嵌入未解码JWT令牌部分，可能导致记录任意大的伪造JWT负载。

ソース: CNNVD (China National Vulnerability Database)

CVSS情報

N/A

ソース: CNNVD (China National Vulnerability Database)

脆弱性タイプ

N/A

ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダー	プロダクト	影響を受けるバージョン	CPE	購読
authlib	joserfc	>= 1.3.3, < 1.3.5	-

II. CVE-2025-65015の公開POC

#	POC説明	ソースリンク	Shenlongリンク

AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2025-65015のインテリジェンス情報

请登录查看更多情报信息。

IV. 関連脆弱性

同じ製品: joserfc

CVE-2026-27932
joserfc PBES2 p2c Unbounded Iteration Count enables Denial o

同じベンダー: authlib

同じ弱点: CWE-770

V. CVE-2025-65015へのコメント

まだコメントはありません

目標達成すべての支援者に感謝 — 100%達成しました！

CVE-2025-65015— joserfc 安全漏洞

I. CVE-2025-65015の基本情報

脆弱性情報

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

影響を受ける製品

II. CVE-2025-65015の公開POC

III. CVE-2025-65015のインテリジェンス情報

IV. 関連脆弱性

V. CVE-2025-65015へのコメント

コメントを残す

目標達成 すべての支援者に感謝 — 100%達成しました！

CVE-2025-65015— joserfc 安全漏洞

I. CVE-2025-65015の基本情報

脆弱性情報

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

影響を受ける製品

II. CVE-2025-65015の公開POC

III. CVE-2025-65015のインテリジェンス情報

IV. 関連脆弱性

V. CVE-2025-65015へのコメント

コメントを残す

目標達成すべての支援者に感謝 — 100%達成しました！