प्लेटफ़ॉर्म
python
घटक
joserfc
में ठीक किया गया
1.3.4
1.4.1
1.3.5
CVE-2025-65015 joserfc लाइब्रेरी में एक गंभीर भेद्यता है, जहाँ लॉगिंग के माध्यम से JWT टोकन के हिस्सों का अनाधिकृत प्रकटीकरण हो सकता है। यह भेद्यता तब उत्पन्न होती है जब बड़ी JWT टोकन को संसाधित किया जाता है, जिसके परिणामस्वरूप लॉग संदेशों में संवेदनशील जानकारी उजागर हो सकती है। यह भेद्यता joserfc के 1.3.4 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, joserfc को 1.3.5 या बाद के संस्करण में अपडेट करने की सिफारिश की जाती है।
यह भेद्यता हमलावरों को संवेदनशील जानकारी उजागर करने की अनुमति देती है जो JWT टोकन में एन्कोड की गई है। हमलावर लॉग फ़ाइलों की निगरानी करके या लॉगिंग सिस्टम (जैसे Sentry) तक पहुँच प्राप्त करके टोकन के हिस्सों को पुनर्प्राप्त कर सकते हैं। पुनर्प्राप्त जानकारी का उपयोग तब एप्लिकेशन को प्रमाणित करने, संवेदनशील डेटा तक पहुँचने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। विशेष रूप से, वेब सर्वर के सामने एक कमजोर कॉन्फ़िगरेशन या अनुपस्थित होने पर यह जोखिम बढ़ जाता है, जिससे हमलावर बड़े JWT टोकन को इंजेक्ट कर सकते हैं। इस भेद्यता का व्यापक प्रभाव हो सकता है, क्योंकि यह कई अनुप्रयोगों को प्रभावित कर सकता है जो joserfc लाइब्रेरी का उपयोग करते हैं।
CVE-2025-65015 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं, लेकिन भेद्यता की गंभीरता और संभावित प्रभाव को देखते हुए, इसका शोषण होने की संभावना है। यह भेद्यता KEV (CISA ज्ञात भेद्यता सूची) में शामिल होने की संभावना है। सार्वजनिक PoC (प्रूफ-ऑफ-कॉन्सेप्ट) अभी तक उपलब्ध नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, उनका जल्द ही उभरना संभव है।
Applications using joserfc for JWT handling, particularly those deployed behind web servers with inadequate input validation or those that log JWT data without proper sanitization, are at significant risk. Shared hosting environments where server configurations are less controllable are also particularly vulnerable.
• python / server:
grep -r 'joserfc.jwt.decode' /path/to/your/python/project/
journalctl -u your_app_name | grep 'ExceededSizeError'• generic web:
curl -I https://your-app.com/api/endpoint | grep 'Authorization:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (20% शतमक)
CISA SSVC
CVE-2025-65015 के प्रभाव को कम करने के लिए, joserfc को तुरंत 1.3.5 या बाद के संस्करण में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, लॉगिंग कॉन्फ़िगरेशन को संशोधित करके JWT टोकन के हिस्सों को लॉगिंग से बाहर रखा जा सकता है। इसके अतिरिक्त, वेब सर्वर को कॉन्फ़िगर किया जाना चाहिए ताकि यह सुनिश्चित किया जा सके कि यह बड़े JWT टोकन को संसाधित करने से पहले उन्हें मान्य करता है। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करके असामान्य रूप से बड़े JWT टोकन को ब्लॉक किया जा सकता है। लॉगिंग सिस्टम की सुरक्षा को मजबूत करना भी महत्वपूर्ण है ताकि अनाधिकृत पहुंच को रोका जा सके।
joserfc लाइब्रेरी को संस्करण 1.3.5 या उच्चतर, या संस्करण 1.4.2 या उच्चतर में अपडेट करें। यह मनमाने ढंग से बड़े JWT पेलोड लॉगिंग के कारण होने वाली अनियंत्रित संसाधन खपत भेद्यता को ठीक कर देगा। आप `pip install joserfc==1.4.2` या उपलब्ध नवीनतम संस्करण का उपयोग करके अपडेट कर सकते हैं।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-65015 joserfc लाइब्रेरी में एक भेद्यता है जो लॉगिंग के माध्यम से JWT टोकन के हिस्सों का अनाधिकृत प्रकटीकरण हो सकता है, जिससे संवेदनशील जानकारी उजागर हो सकती है।
यदि आप joserfc के 1.3.4 या उससे पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-65015 को ठीक करने के लिए, joserfc को 1.3.5 या बाद के संस्करण में अपडेट करें।
CVE-2025-65015 के सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
कृपया joserfc परियोजना की वेबसाइट या GitHub रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।