CVE-2016-10555— jwt-simple 安全漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2016-10555 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Since "algorithm" isn't enforced in jwt.decode()in jwt-simple 0.3.0 and earlier, a malicious user could choose what algorithm is sent sent to the server. If the server is expecting RSA but is sent HMAC-SHA with RSA's public key, the server will think the public key is actually an HMAC private key. This could be used to forge any data an attacker wants.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
输入验证不恰当
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
jwt-simple 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
jwt-simple是一个基于Node.js的JWT(JSON Web Token)编码和解码模块。 jwt-simple 0.3.0及之前版本中存在安全漏洞。攻击者可通过选择发送到的服务器的算法利用该漏洞伪造任意数据。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| HackerOne | jwt-simple node module | <=0.3.0 | - |
二、漏洞 CVE-2016-10555 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Exploiting the CVE-2016-10555 | https://github.com/thepcn3rd/jwtToken-CVE-2016-10555 | POC详情 |
| 2 | Change the algorithm RS256(asymmetric) to HS256(symmetric) - POC (CVE-2016-10555) | https://github.com/CircuitSoul/poc-cve-2016-10555 | POC详情 |
| 3 | CVE-2016-10555 PoC code | https://github.com/scent2d/PoC-CVE-2016-10555 | POC详情 |
| 4 | 针对JWT渗透开发的漏洞验证/密钥爆破工具,针对CVE-2015-9235/未验证签名攻击/CVE-2016-10555/CVE-2018-0114/CVE-2020-28042的结果生成用于FUZZ,也可使用字典/字符枚举(包括JJWT)的方式进行爆破 | https://github.com/z-bool/Venom-JWT | POC详情 |
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2016-10555 的情报信息
Please 登录 to view more intelligence information
- https://nodesecurity.io/advisories/87x_refsource_MISC
- https://github.com/hokaccha/node-jwt-simple/pull/16x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2016-10555
同批安全公告 · HackerOne · 2018-05-31 · 共 50 条
| CVE-2016-10549 | Sails 安全漏洞 | |
| CVE-2016-10560 | galenframework-cli 安全漏洞 | |
| CVE-2016-10564 | apk-parser 安全漏洞 | |
| CVE-2016-10565 | operadriver 安全漏洞 | |
| CVE-2016-10569 | embedza 安全漏洞 | |
| CVE-2016-10571 | bkjs-wand 安全漏洞 | |
| CVE-2016-10572 | mongodb-instance 安全漏洞 | |
| CVE-2016-10563 | go-ipfs-deps模块安全漏洞 | |
| CVE-2016-10552 | igniteui 安全漏洞 | |
| CVE-2016-10550 | sequalize SQL注入漏洞 | |
| CVE-2016-10553 | sequalize SQL注入漏洞 | |
| CVE-2016-10548 | reduce-css-calc node模块安全漏洞 | |
| CVE-2016-10547 | Nunjucks 安全漏洞 | |
| CVE-2016-10546 | PouchDB 安全漏洞 | |
| CVE-2016-10544 | uws 安全漏洞 | |
| CVE-2016-10543 | call 安全漏洞 | |
| CVE-2016-10542 | ws 安全漏洞 | |
| CVE-2016-10541 | Thshell-quote 安全漏洞 | |
| CVE-2016-10540 | Minimatch 安全漏洞 | |
| CVE-2016-10539 | negotiator 安全漏洞 |
显示前 20 条,共 50 条。 查看全部 → →
IV. Related Vulnerabilities
V. Comments for CVE-2016-10555
暂无评论