php · web-token/jwt-libraryCrítico

web-token/jwt-library: PBES2AESKW impõe limite de iterações p2c para evitar DoS

PBES2AESKW::unwrapKey() agora impõe um limite máximo configurável de iterações (DEFAULT_MAX_COUNT = 1_000_000) em checkHeaderAdditionalParameters() antes de qua

19 Jun 2026Leitura 1 minSeveridade: mexe agora

O que mudou

PBES2AESKW::unwrapKey() agora impõe um limite máximo configurável de iterações (DEFAULT_MAX_COUNT = 1_000_000) em checkHeaderAdditionalParameters() antes de qualquer computação PBKDF2, prevenindo DoS por amplificação de CPU.

Quem isso afeta

Aplicações que registram qualquer algoritmo PBES2-HS*+A*KW em seu AlgorithmManager de descriptografia.

O que fazer hoje

Atualize para a versão corrigida ou valide/limite o cabeçalho p2c com um verificador de cabeçalho personalizado, ou não habilite algoritmos PBES2 para tokens não confiáveis.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · web-token/jwt-library

web-token/jwt-library: PBES2AESKW impõe limite de iterações p2c para evitar DoS

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre web-token/jwt-library

getgrav/grav: Backup endpoint vaza hash de senha e caminho do sistema

Kirby CMS: Correção de injeção de cabeçalho HTTP via Remote (CVE pendente)