PHP JWT Framework: Chacha20Poly1305 key-encryption algorithm discards the Poly1305 authentication tag, performing no authentication on decryption — GHSA-6VVH-PXR4-25R7
GitHub · GitHub · GHSA-6VVH-PXR4-25R7
ID
GHSA-6VVH-PXR4-25R7
GHSA-6VVH-PXR4-25R7
Datum
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
medium
medium
CVSS
6
6
Zusammenfassung
### Impact The experimental `Chacha20Poly1305` key-encryption algorithm generates the 16-byte Poly1305 authentication tag during `encryptKey()` but **discards it**: the tag is never written to the header and therefore never reaches the wire. On the receiving side, `decryptKey()` calls `openssl_decrypt('chacha20-poly1305', ...)` **without the tag argument**, which makes OpenSSL skip authentication entirely. As a…
Produkt
composer: web-token/jwt-experimental | composer: web-token/jwt-library
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.