关键漏洞信息 漏洞描述: - 类型: 可能由任意大数据的JWT令牌负载触发的不受控制的资源消耗漏洞。 严重性: - 等级: Critical - 评分: CVSS v4.0 评分 9.2 / 10 受影响的版本: >=1.3.3 and <= 1.4.1 修复版本: - 1.3.5 - 1.4.2 CVE ID: CVE-2025-65015 CWWE: CWE-770 简要描述: - ExceededSizeError 异常消息嵌入在未解码的JWT令牌部分中,可能会导致Python日志记录一个任意大的、伪造的JWT负载。 详细描述: - 配置错误或完全不存在的生产级Web服务器在Python Web应用程序之前的情况下,攻击者可能发送任意大的Bearer令牌。这将导致Python日志或诊断工具记录极大的log消息,包含整个JWT头。当使用 操作时,相同的日志记录的行为也会发生在验证声明和签名的情况下,因为库设置 异常消息包含完整负载。 代码位置: - L102-112 - L103-123 影响: - 潜在分配资源没有限制或节流的风险,可能影响磁盘、内存和CPU的资源。 - 风险可以通过移除日志内容中的JWT负载来缓解,或者在某些 异常消息中直接包含负载内容。