CVE-2026-44699— libjwt 加密问题漏洞
可能的 ATT&CK 技术 1AI
T1190 · Exploit Public-Facing Application影响版本矩阵 1
| 厂商 | 产品 | 版本范围 | 状态 |
|---|---|---|---|
| benmcollins | libjwt | >= 3.0.0, < 3.3.3 | affected |
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-44699 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
LibJWT: Algorithm confusion allows JWT forgery with RSA JWK as empty-key HMAC
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
LibJWT is a C JSON Web Token Library. From 3.0.0 to 3.3.2, libjwt accepts an RSA JWK that does not contain an alg parameter as the verification key for an HS256/HS384/HS512 token. In the OpenSSL backend, this causes HMAC verification to run with a zero-length key, so an attacker can forge a valid JWT without knowing any secret or RSA private key. This is an algorithm-confusion authentication bypass. It affects applications that load RSA keys from JWKS where alg is omitted, which is valid JWK syntax and common in real deployments, and then choose the verification algorithm from the JWT header, for example in a kid lookup callback. This vulnerability is fixed in 3.3.3.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
使用已被攻破或存在风险的密码学算法
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
libjwt 加密问题漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
libjwt是Ben Collins个人开发者的一个用于生成和验证JSON Web Token的C语言库。 LibJWT 3.0.0版本至3.3.2版本存在加密问题漏洞,该漏洞源于接受不含alg参数的RSA JWK作为HS256/HS384/HS512令牌的验证密钥,可能导致攻击者伪造有效JWT绕过身份验证。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| benmcollins | libjwt | >= 3.0.0, < 3.3.3 | - |
二、漏洞 CVE-2026-44699 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-44699 的情报信息
请登录查看更多情报信息。
CVE-2026-44699 厂商安全公告 (1)
IV. Related Vulnerabilities
Same product: libjwt
Same vendor: benmcollins
V. Comments for CVE-2026-44699
暂无评论