pyjwt: Vulnerabilidade de confusão de algoritmos com chaves JWK
Uma vulnerabilidade no pyjwt permite que um atacante forje JWTs quando o verificador está configurado com algoritmos simétricos e assimétricos e passa uma JWK JSON bruta como chave.
O que mudou
Uma vulnerabilidade no pyjwt permite que um atacante forje JWTs quando o verificador está configurado com algoritmos simétricos e assimétricos e passa uma JWK JSON bruta como chave. A proteção da biblioteca contra confusão de algoritmos verifica apenas chaves PEM/SSH, não chaves JSON Web, permitindo assinatura HMAC com a chave pública.
Quem isso afeta
Aplicações que usam pyjwt e passam uma chave JSON Web (JWK) como chave e permitem algoritmos HMAC e assimétricos na mesma chamada decode.
O que fazer hoje
Atualize o pyjwt para a versão corrigida mais recente e garanta que os verificadores não misturem algoritmos simétricos e assimétricos na mesma chamada; evite passar JWKs JSON brutas como chaves.