CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-18239
https://notcve.org/view.php?id=CVE-2017-18239
18 Mar 2018 — A time-sensitive equality check on the JWT signature in the JsonWebToken.validate method in main/scala/authentikat/jwt/JsonWebToken.scala in authentikat-jwt (aka com.jason-goodwin/authentikat-jwt) version 0.4.5 and earlier allows the supplier of a JWT token to guess bit after bit of the signature by repeating validation requests. Una comprobación de igualdad sensible al tiempo en la firma JWT en el método JsonWebToken.validate en main/scala/authentikat/jwt/JsonWebToken.scala en authentikat-jwt (también cono... • https://github.com/jasongoodwin/authentikat-jwt/commit/2d2fa0d40ac8f2f7aa7e9b070fa1a25eee082cb0 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-7037
https://notcve.org/view.php?id=CVE-2016-7037
23 Jan 2017 — The verify function in Encryption/Symmetric.php in Malcolm Fell jwt before 1.0.3 does not use a timing-safe function for hash comparison, which allows attackers to spoof signatures via a timing attack. La función de verificación en Encryption/Symmetric.php en Malcolm Fell jwt en versiones anteriores a 1.0.3 no utiliza una función segura de temporización para la comparación de hash, lo que permite a los atacantes suplantar firmas a través de un ataque de temporización. • http://www.securityfocus.com/bid/95847 • CWE-361: 7PK - Time and State •