Nimbus JOSE+JWT before 4.39 proceeds improperly after detection of an invalid HMAC in authenticated AES-CBC decryption, which allows attackers to conduct a padding oracle attack.

No CVSS v3.1

Attack Vector Network

Attack Complexity High

Privileges Required None

Scope Unchanged

Confidentiality Impact Low

Integrity Impact None

Availability Impact None

User Interaction Required

Access Vector Network

Access Complexity Medium

Authentication None

Confidentiality Impact Partial

Integrity Impact None

Availability Impact None

AV:N/AC:M/Au:N/C:P/I:N/A:N
Vendors Products
Connect2id
  • Nimbus Jose\+jwt

Configuration 1 [-]

OR cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.0:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.3:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.4:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.5:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.6:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.7:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.8:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.9:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.9.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.10:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.11:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:1.12:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.0:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.1.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.3:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.4:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.5:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.6:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.7:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.8:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.9:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.10:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.10.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.11.0:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.12.0:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.13.0:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.13.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.14:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.15:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.15.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.15.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.16:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.17:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.17.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.17.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.18:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.18.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.18.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.19:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.19.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.20:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.21:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.22:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.22.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.23:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.24:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.25:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.26:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:2.26.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.0:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.1.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.1.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.2.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.2.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.3:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.4:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.5:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.6:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.7:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.8:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.8.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.8.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.9:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.9.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.9.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:3.10:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.0:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.0.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.1.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.3:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.3.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.4:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.5:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.6:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.7:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.8:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.9:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.10:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.11:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.11.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.11.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.12:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.13:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.13.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.14:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.15:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.15.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.16:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.16.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.16.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.17:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.18:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.19:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.20:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.21:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.22:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.23:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.24:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.25:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.26:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.26.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.27:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.27.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.28:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.29:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.30:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.31:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.31.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.32:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.33:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.34:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.34.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.34.2:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.35:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.36.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.37:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.37.1:*:*:*:*:*:*:*
cpe:2.3:a:connect2id:nimbus_jose\+jwt:4.38:*:*:*:*:*:*:*
References
Link Resource
https://bitbucket.org/connect2id/nimbus-jose-jwt/commits/6a29f10f723f406eb25555f55842c59a43a38912 Patch Third Party Advisory
https://bitbucket.org/connect2id/nimbus-jose-jwt/issues/223/aescbc-return-immediately-on-invalid-hmac Third Party Advisory
https://bitbucket.org/connect2id/nimbus-jose-jwt/src/master/CHANGELOG.txt Release Notes Third Party Advisory
History

No history.

cve-icon MITRE Information

Status: PUBLISHED

Assigner: mitre

Published: 2022-10-03T16:23:17

Updated: 2022-10-03T16:23:17

Reserved: 2022-10-03T00:00:00

Link: CVE-2017-12973

JSON object: View

cve-icon NVD Information

Status : Analyzed

Published: 2017-08-20T16:29:00.283

Modified: 2019-10-03T00:03:26.223

Link: CVE-2017-12973

JSON object: View

cve-icon Redhat Information

No data.

CWE