joserfc には、不正に大きな JWT トークン ペイロードのロギングによって引き起こされる可能性のある、制御不能なリソース消費の脆弱性があります

この脆弱性は、Web サーバーが Python Web アプリケーションの前に配置されている場合に特に深刻な影響を及ぼします。攻撃者は、意図的に非常に大きな bearer トークンを HTTP リクエストヘッダーに含めることができます。joserfc.jwt.decode() 関数がこのトークンを処理する際、ExceededSizeError 例外メッセージに未デコードの JWT トークン部分が含まれ、Python のロギングシステムがこの不正なペイロードをログに記録してしまう可能性があります。ログに記録された JWT ペイロードには、機密情報（ユーザー認証情報、API キーなど）が含まれている可能性があり、攻撃者がこれらの情報を盗み出す可能性があります。また、ログデータが外部に送信される場合、機密情報が外部に漏洩するリスクも高まります。

Applications using joserfc for JWT handling, particularly those deployed behind web servers with inadequate input validation or those that log JWT data without proper sanitization, are at significant risk. Shared hosting environments where server configurations are less controllable are also particularly vulnerable.

• python / server:

  grep -r 'joserfc.jwt.decode' /path/to/your/python/project/
  journalctl -u your_app_name | grep 'ExceededSizeError'

• generic web:

  curl -I https://your-app.com/api/endpoint | grep 'Authorization:'

1. 2025-11-18Disclosure

   disclosure

1. 予約済み2025-11-13
2. 公開日2025-11-18
3. 更新日2026-02-04
4. EPSS 更新日2026-03-23

この脆弱性への主な対策は、joserfc ライブラリをバージョン 1.3.5 以降にアップデートすることです。アップデートがアプリケーションの互換性に影響を与える場合は、一時的な回避策として、Web サーバーの設定で、リクエストヘッダーのサイズ制限を厳しく設定することを検討してください。これにより、非常に大きな bearer トークンがアプリケーションに到達するのを防ぐことができます。また、Sentry などのロギングおよび監視ツールを使用している場合は、ログメッセージのサイズ制限を設定し、過度に大きなログメッセージが処理されないようにする必要があります。ログの監視を強化し、JWT トークンに関連する異常なパターンを検出するためのルールを設定することも有効です。