Plateforme
python
Composant
joserfc
Corrigé dans
1.3.4
1.4.1
1.3.5
La vulnérabilité CVE-2025-65015 concerne une faille d'exécution de code à distance (RCE) dans la bibliothèque Python joserfc, plus précisément dans la gestion des exceptions ExceededSizeError lors du décodage de tokens JWT. Cette faille permet à un attaquant d'injecter un payload JWT malformé qui est ensuite enregistré dans les logs de l'application, potentiellement conduisant à l'exécution de code arbitraire. Elle affecte les versions de joserfc inférieures ou égales à 1.3.4 et a été corrigée dans la version 1.3.5.
L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter cette faille en envoyant un token JWT excessivement grand, contenant un payload malveillant. Si l'application Python utilise des outils de logging ou de surveillance (comme Sentry) pour enregistrer les exceptions, le payload JWT complet, y compris le code malveillant, sera inclus dans les logs. L'attaquant peut alors accéder à ces logs et exécuter le code injecté, compromettant ainsi l'ensemble du système. Le risque est exacerbé si l'application est exposée via un serveur web sans validation de taille des tokens JWT, permettant l'envoi de tokens de taille arbitraire. Cette vulnérabilité rappelle les risques liés à l'inclusion non filtrée de données utilisateur dans les logs, un problème courant qui peut avoir des conséquences graves.
Cette vulnérabilité a été rendue publique le 18 novembre 2025. Bien qu'il n'y ait pas d'indication d'exploitation active à ce jour, la sévérité CRITIQUE de la vulnérabilité et la facilité potentielle d'exploitation la rendent préoccupante. Il est probable que des preuves de concept (PoC) seront rapidement disponibles, augmentant le risque d'exploitation. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA, mais son impact élevé pourrait entraîner son ajout à l'avenir.
Applications using joserfc for JWT handling, particularly those deployed behind web servers with inadequate input validation or those that log JWT data without proper sanitization, are at significant risk. Shared hosting environments where server configurations are less controllable are also particularly vulnerable.
• python / server:
grep -r 'joserfc.jwt.decode' /path/to/your/python/project/
journalctl -u your_app_name | grep 'ExceededSizeError'• generic web:
curl -I https://your-app.com/api/endpoint | grep 'Authorization:'disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
La mitigation principale consiste à mettre à jour la bibliothèque joserfc vers la version 1.3.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à implémenter une validation stricte de la taille des tokens JWT avant de les décoder. Cela peut être fait au niveau du serveur web (par exemple, en configurant Nginx ou Apache pour refuser les tokens de taille excessive) ou au niveau de l'application Python. Il est également recommandé de désactiver ou de configurer soigneusement les outils de logging et de surveillance pour éviter l'inclusion de données sensibles, comme les tokens JWT, dans les logs. Après la mise à jour, vérifiez que le décodage des JWT ne génère plus d'exceptions ExceededSizeError avec des payloads malformés.
Mettez à jour la bibliothèque joserfc à la version 1.3.5 ou supérieure, ou à la version 1.4.2 ou supérieure. Cela corrigera la vulnérabilité de consommation de ressources non contrôlée causée par l'enregistrement de charges utiles JWT arbitrairement volumineuses. Vous pouvez mettre à jour en utilisant `pip install joserfc==1.4.2` ou la version la plus récente disponible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-65015 is a critical vulnerability in joserfc versions ≤1.3.4 that allows attackers to inject forged JWT payloads into Python logs, potentially exposing sensitive data.
You are affected if you are using joserfc version 1.3.4 or earlier and your application is deployed behind a web server that doesn't properly validate request sizes.
Upgrade to joserfc version 1.3.5 or later. As a temporary workaround, limit request sizes on your web server and review your logging configuration to avoid logging sensitive JWT data.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for rapid adoption.
Refer to the joserfc project's release notes and security advisories on their GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.