CVE编号
CVE-2019-17195利用情况
暂无补丁情况
官方补丁披露时间
2019-10-16漏洞描述
v7.9之前的Connect2id Nimbus JOSE + JWT在解析JWT时可能引发各种未捕获的异常,这可能导致应用程序崩溃(潜在的信息泄露)或潜在的身份验证绕过。解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://connect2id.com/blog/nimbus-jose-jwt-7-9
参考链接 |
|
|---|---|
| https://bitbucket.org/connect2id/nimbus-jose-jwt/src/master/SECURITY-CHANGELOG.txt | |
| https://connect2id.com/blog/nimbus-jose-jwt-7-9 | |
| https://lists.apache.org/thread.html/8768553cda5838f59ee3865cac546e824fa740e8... | |
| https://lists.apache.org/thread.html/e10d43984f39327e443e875adcd4a5049193a7c0... | |
| https://lists.apache.org/thread.html/r2667286c8ceffaf893b16829b9612d8f7c4ee6b... | |
| https://lists.apache.org/thread.html/r33dc233634aedb04fa77db3eb79ea12d15ca4da... | |
| https://lists.apache.org/thread.html/r35f6301a3e6a56259224786dd9c2a935ba27ff6... | |
| https://lists.apache.org/thread.html/r5e08837e695efd36be73510ce58ec05785dbcea... | |
| https://lists.apache.org/thread.html/rcac26c2d4df22341fa6ebbfe93ba1eff77d2dcd... | |
| https://www.oracle.com//security-alerts/cpujul2021.html | |
| https://www.oracle.com/security-alerts/cpuapr2020.html | |
| https://www.oracle.com/security-alerts/cpuApr2021.html | |
| https://www.oracle.com/security-alerts/cpujan2021.html | |
| https://www.oracle.com/security-alerts/cpujan2022.html | |
| https://www.oracle.com/security-alerts/cpuoct2021.html |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | connect2id | nimbus_jose+jwt | * |
Up to (excluding) 7.9 |
|||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
还没有评论,来说两句吧...