CVE-2023-50658 — Denial of service when decrypting attacker controlled input in github.com/dvsekh · VulnScope

CVE-2023-50658

Denial of service when decrypting attacker controlled input in github.com/dvsekhvalnov/jose2go

5.3

MEDIUM

CVSS 3.1

EPSS 0.05%

描述

The jose2go component before 1.6.0 for Go allows attackers to cause a denial of service (CPU consumption) via a large p2c (aka PBES2 Count) value.

如何修補 CVE-2023-50658

要修補 CVE-2023-50658,請將受影響套件升級到下列已修補版本。

Debian/golang-github-dvsekhvalnov-jose2go—未列出修補版本
—升級至 1.6.0 或更新版本
—升級至 1.5.1-0.20231206184617-48ba0b76bc88 或更新版本
—升級至 1.5.1-0.20231206184617-48ba0b76bc88 或更新版本

CVE-2023-50658 正在被利用嗎?

低 — EPSS 為 0.1%,目前沒有觀察到大規模利用活動。

受影響套件(4)

from 0
from 0, < 1.6.0
from 0, < 1.5.1-0.20231206184617-48ba0b76bc88
from 0, < 1.5.1-0.20231206184617-48ba0b76bc88

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	MEDIUM5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

參考連結(8)