一、 漏洞 CVE-2025-62706 基础信息
漏洞信息
                                        # Authlib JWE zip=DEF 压缩炸弹漏洞

## 概述

Authlib 是一个用于构建 OAuth 和 OpenID Connect 服务的 Python 库。在版本 1.6.5 之前,其 JWE(JSON Web Encryption)处理路径中存在未限制的 DEFLATE 解压缩操作。

## 影响版本

- 所有低于 1.6.5 的版本均受影响。

## 漏洞细节

- 在 JWE 解密过程中,如果使用了 `zip=DEF` 参数,Authlib 将对数据执行 DEFLATE 解压。
- 攻击者可构造一个包含高压缩比加密数据的 JWE,其解压后可膨胀至数十甚至数百兆大小。
- 该漏洞使得任何能够提交可解密 JWE 的攻击者都可以导致服务端资源耗尽。

## 影响

- 内存和 CPU 被大量占用,引发拒绝服务(DoS)。
- 攻击者可通过发送精心构造的加密令牌,在未修复的系统上执行资源耗尽攻击。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Authlib : JWE zip=DEF decompression bomb enables DoS
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Authlib is a Python library which builds OAuth and OpenID Connect servers. Prior to version 1.6.5, Authlib’s JWE zip=DEF path performs unbounded DEFLATE decompression. A very small ciphertext can expand into tens or hundreds of megabytes on decrypt, allowing an attacker who can supply decryptable tokens to exhaust memory and CPU and cause denial of service. This issue has been patched in version 1.6.5. Workarounds for this issue involve rejecting or stripping zip=DEF for inbound JWEs at the application boundary, forking and add a bounded decompression guard via decompressobj().decompress(data, MAX_SIZE)) and returning an error when output exceeds a safe limit, or enforcing strict maximum token sizes and fail fast on oversized inputs; combine with rate limiting.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:美国国家漏洞数据库 NVD
漏洞标题
Authlib 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Authlib是Authlib开源的一个构建 OAuth 和 OpenID Connect 服务器的终极 Python 库。 Authlib 1.6.5之前版本存在安全漏洞,该漏洞源于JWE zip=DEF路径执行无限制DEFLATE解压缩,可能导致内存和CPU耗尽,造成拒绝服务攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62706 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62706 的情报信息
四、漏洞 CVE-2025-62706 的评论

暂无评论

发表评论