关键信息 漏洞概述 名称: Malicious parameters in JWE can cause a DOS 严重性: Moderate 发布日期: Dec 3, 2023 CVE ID: CVE-2023-49290 影响版本 受影响版本: <=2.0.17, <=1.2.26 已修复版本: v2.0.18, v1.2.27 漏洞描述 摘要: JWE的算法参数p2c过高可能会导致DOS攻击。 详细: JWE密钥管理算法基于PBKDF2,需要一个称为p2c的JOSE头参数(PBES2计数)。该参数控制导出CEK包装密钥所需的PBKDF2迭代次数。其主要目的是有意减慢密钥导出函数的速度,使密码暴力破解和字典攻击更加资源密集。因此,如果攻击者在JWE中设置非常大的p2c参数,会导致大量计算消耗,从而导致DOS攻击。 代码示例 影响 这是一种DOS攻击,用户的环境可能会过度使用CPU资源。