Plataforma
python
Componente
joserfc
Corregido en
1.3.4
1.4.1
1.3.5
La vulnerabilidad CVE-2025-65015 afecta a la biblioteca Python joserfc en versiones anteriores o iguales a 1.3.4. Esta falla permite que mensajes de excepción ExceededSizeError incluyan partes no decodificadas de tokens JWT, lo que puede resultar en el registro de cargas útiles JWT falsificadas y de gran tamaño en los logs de la aplicación. El impacto principal es la posible exposición de información sensible contenida en el token JWT, y la posibilidad de ataques de denegación de servicio debido al tamaño de los logs.
Un atacante puede explotar esta vulnerabilidad enviando tokens JWT de tamaño excesivo en las cabeceras de las solicitudes HTTP. Si la aplicación utiliza joserfc para decodificar estos tokens y los mensajes de error no están adecuadamente sanitizados, la información del token (incluyendo potencialmente datos sensibles como nombres de usuario, roles y permisos) se incluirá en los logs. Esto puede permitir a un atacante obtener información confidencial sobre la aplicación y sus usuarios. Además, el registro de tokens JWT de gran tamaño puede consumir recursos del sistema y provocar una denegación de servicio. La falta de una validación adecuada del tamaño del token antes de su procesamiento es la causa raíz de esta vulnerabilidad, similar a problemas de inyección de logs observados en otras bibliotecas.
La vulnerabilidad CVE-2025-65015 fue publicada el 18 de noviembre de 2025. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (inyección de logs) la hace potencialmente explotable en entornos donde los logs no están adecuadamente protegidos. La probabilidad de explotación se considera moderada, dado que requiere una configuración específica (servidor web frente a la aplicación Python) y la capacidad de enviar tokens JWT de gran tamaño.
Applications using joserfc for JWT handling, particularly those deployed behind web servers with inadequate input validation or those that log JWT data without proper sanitization, are at significant risk. Shared hosting environments where server configurations are less controllable are also particularly vulnerable.
• python / server:
grep -r 'joserfc.jwt.decode' /path/to/your/python/project/
journalctl -u your_app_name | grep 'ExceededSizeError'• generic web:
curl -I https://your-app.com/api/endpoint | grep 'Authorization:'disclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
La mitigación principal es actualizar la biblioteca joserfc a la versión 1.3.5 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar validación del tamaño del token JWT antes de su decodificación. Esto puede hacerse en el código de la aplicación, verificando la longitud del token antes de pasarlo a la función decode(). Además, es crucial revisar la configuración de los sistemas de logging para evitar el registro de datos sensibles, como tokens JWT completos. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes con tokens JWT de tamaño inusualmente grande también puede ser una medida preventiva. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los logs no contengan información sensible del token JWT.
Actualice la biblioteca joserfc a la versión 1.3.5 o superior, o a la versión 1.4.2 o superior. Esto corregirá la vulnerabilidad de consumo de recursos no controlado causada por el registro de payloads JWT arbitrariamente grandes. Puede actualizar usando `pip install joserfc==1.4.2` o la versión más reciente disponible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-65015 is a critical vulnerability in joserfc versions ≤1.3.4 that allows attackers to inject forged JWT payloads into Python logs, potentially exposing sensitive data.
You are affected if you are using joserfc version 1.3.4 or earlier and your application is deployed behind a web server that doesn't properly validate request sizes.
Upgrade to joserfc version 1.3.5 or later. As a temporary workaround, limit request sizes on your web server and review your logging configuration to avoid logging sensitive JWT data.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for rapid adoption.
Refer to the joserfc project's release notes and security advisories on their GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.