Plataforma
python
Componente
joserfc
Corrigido em
1.3.4
1.4.1
1.3.5
A vulnerabilidade CVE-2025-65015 afeta a biblioteca Python joserfc versões até 1.3.4. Essa falha permite que atacantes injetem payloads JWT (JSON Web Token) forjados em mensagens de log, potencialmente expondo informações sensíveis. A exploração ocorre quando tokens JWT grandes são processados e a exceção 'ExceededSizeError' revela partes não decodificadas do token. A correção está disponível na versão 1.3.5.
Um atacante pode explorar essa vulnerabilidade enviando tokens JWT excessivamente grandes para uma aplicação Python que utiliza a biblioteca joserfc. Se a aplicação estiver configurada para registrar essas exceções 'ExceededSizeError', o payload completo do token JWT, incluindo informações confidenciais como chaves secretas, dados do usuário e permissões, pode ser gravado nos logs. Esses logs podem ser acessados por atacantes que obtiveram acesso ao sistema de registro da aplicação, permitindo a obtenção de credenciais e a execução de ações não autorizadas. A gravidade é amplificada se os logs forem enviados para serviços de monitoramento externos, como Sentry, expondo os dados a terceiros. A ausência de validação de tamanho do token torna a exploração trivial.
A vulnerabilidade foi divulgada em 18 de novembro de 2025. Não há evidências de exploração ativa em campanhas direcionadas, mas a facilidade de exploração e o potencial impacto tornam a vulnerabilidade uma preocupação significativa. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento. A pontuação de severidade CVSS de 9.5 indica um alto risco de exploração.
Applications using joserfc for JWT handling, particularly those deployed behind web servers with inadequate input validation or those that log JWT data without proper sanitization, are at significant risk. Shared hosting environments where server configurations are less controllable are also particularly vulnerable.
• python / server:
grep -r 'joserfc.jwt.decode' /path/to/your/python/project/
journalctl -u your_app_name | grep 'ExceededSizeError'• generic web:
curl -I https://your-app.com/api/endpoint | grep 'Authorization:'disclosure
Status do Exploit
EPSS
0.07% (percentil 20%)
CISA SSVC
A mitigação primária é atualizar a biblioteca joserfc para a versão 1.3.5 ou superior, que corrige a vulnerabilidade. Em ambientes onde a atualização imediata não é possível, implemente validação de tamanho do token JWT antes de processá-lo. Isso pode ser feito verificando o comprimento do token antes de chamar a função decode(). Além disso, configure o sistema de registro da aplicação para não registrar exceções detalhadas que possam conter informações sensíveis. Considere o uso de um Web Application Firewall (WAF) para bloquear solicitações com tokens JWT excessivamente grandes. A verificação da integridade do token após a decodificação também pode ajudar a detectar payloads maliciosos.
Atualize a biblioteca joserfc para a versão 1.3.5 ou superior, ou para a versão 1.4.2 ou superior. Isso corrigirá a vulnerabilidade de consumo de recursos não controlado causada pelo registro de payloads JWT arbitrariamente grandes. Você pode atualizar usando `pip install joserfc==1.4.2` ou a versão mais recente disponível.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-65015 is a critical vulnerability in joserfc versions ≤1.3.4 that allows attackers to inject forged JWT payloads into Python logs, potentially exposing sensitive data.
You are affected if you are using joserfc version 1.3.4 or earlier and your application is deployed behind a web server that doesn't properly validate request sizes.
Upgrade to joserfc version 1.3.5 or later. As a temporary workaround, limit request sizes on your web server and review your logging configuration to avoid logging sensitive JWT data.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for rapid adoption.
Refer to the joserfc project's release notes and security advisories on their GitHub repository for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.