一、 漏洞 CVE-2025-53864 基础信息
漏洞信息
# N/A
## 概述
Connect2id Nimbus JOSE + JWT 在 10.0.2 版本之前,存在一个漏洞,远程攻击者可以通过在 JWT 声明集中提供深度嵌套的 JSON 对象导致服务中断,这是由于不受控的递归造成的。
## 影响版本
- 10.0.2 版本之前的所有版本
## 细节
攻击者可以通过在 JWT 的声明集中注入深度嵌套的 JSON 对象,触发不受控的递归,从而导致应用程序服务中断。尽管 Gson 2.11.0 有自己的潜在限制,但 Connect2id 产品的处理应当能够检查 JSON 对象的嵌套深度。
## 影响
此漏洞可能导致服务中断(DoS),具体表现为应用程序因处理过深的嵌套 JSON 结构而崩溃或停止响应。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Connect2id Nimbus JOSE + JWT before 10.0.2 allows a remote attacker to cause a denial of service via a deeply nested JSON object supplied in a JWT claim set, because of uncontrolled recursion. NOTE: this is independent of the Gson 2.11.0 issue because the Connect2id product could have checked the JSON object nesting depth, regardless of what limits (if any) were imposed by Gson.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
未经控制的递归
来源:美国国家漏洞数据库 NVD
漏洞标题
Connect2id Nimbus JOSE + JWT 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Connect2id Nimbus JOSE + JWT是Connect2id公司的一款Java库。 Connect2id Nimbus JOSE + JWT 10.0.2之前版本存在安全漏洞,该漏洞源于JSON对象嵌套处理不当,可能导致拒绝服务攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-53864 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
