Platform
python
Component
joserfc
Opgelost in
1.3.4
1.4.1
1.3.5
CVE-2025-65015 is een kritieke kwetsbaarheid in de joserfc bibliotheek, specifiek gerelateerd aan het onjuist afhandelen van JWT (JSON Web Token) payloads. Deze kwetsbaarheid kan leiden tot het blootleggen van gevoelige informatie, zoals gebruikersgegevens en authenticatietokens, in logbestanden. De kwetsbaarheid treedt op in versies van joserfc tot en met 1.3.4 en kan worden verholpen door te upgraden naar versie 1.3.5.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om een misconfigured webserver te misbruiken die voor een Python webapplicatie staat. Door een extreem grote, vervalste JWT payload in de HTTP request headers te versturen, kan de aanvaller ervoor zorgen dat Python logging tools (zoals Sentry) deze payload in logbestanden opslaan. Deze logbestanden kunnen vervolgens worden ingezien door onbevoegden, waardoor gevoelige informatie wordt blootgelegd. De impact is aanzienlijk, omdat de JWT payload vaak authenticatiegegevens en andere gevoelige data bevat. Dit kan leiden tot ongeautoriseerde toegang tot de applicatie en de onderliggende systemen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen bevestigde melding van actieve exploitatie, maar de relatief eenvoudige exploitatie maakt het een potentieel risico. De CVSS score van 9.5 duidt op een hoog risico. De kwetsbaarheid is gepubliceerd op 2025-11-18.
Applications using joserfc for JWT handling, particularly those deployed behind web servers with inadequate input validation or those that log JWT data without proper sanitization, are at significant risk. Shared hosting environments where server configurations are less controllable are also particularly vulnerable.
• python / server:
grep -r 'joserfc.jwt.decode' /path/to/your/python/project/
journalctl -u your_app_name | grep 'ExceededSizeError'• generic web:
curl -I https://your-app.com/api/endpoint | grep 'Authorization:'disclosure
Exploit Status
EPSS
0.07% (20% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van de joserfc bibliotheek naar versie 1.3.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan om de logging configuratie aan te passen om te voorkomen dat grote JWT payloads worden gelogd. Dit kan door de logniveau te verlagen of door specifieke logbestanden uit te schakelen. Daarnaast is het belangrijk om te controleren of de webserver correct is geconfigureerd en dat er geen onnodige logging plaatsvindt. Implementeer WAF-regels om ongebruikelijk grote HTTP headers te detecteren en te blokkeren.
Werk de joserfc bibliotheek bij naar versie 1.3.5 of hoger, of naar versie 1.4.2 of hoger. Dit corrigeert de ongecontroleerde resource consumptie kwetsbaarheid veroorzaakt door het loggen van willekeurig grote JWT payloads. U kunt bijwerken met `pip install joserfc==1.4.2` of de meest recente beschikbare versie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-65015 is a critical vulnerability in joserfc versions ≤1.3.4 that allows attackers to inject forged JWT payloads into Python logs, potentially exposing sensitive data.
You are affected if you are using joserfc version 1.3.4 or earlier and your application is deployed behind a web server that doesn't properly validate request sizes.
Upgrade to joserfc version 1.3.5 or later. As a temporary workaround, limit request sizes on your web server and review your logging configuration to avoid logging sensitive JWT data.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for rapid adoption.
Refer to the joserfc project's release notes and security advisories on their GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.