从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Dragonfly2 vulnerable to hard coded cryptographic key - 严重性:Critical - 发布者:gaius-qi - 发布时间:2 days ago - 包名:github.com/dragonflyoss/Dragonfly2 (Go) - 受影响版本:<= 2.0.8 - 已修复版本:None 2. 漏洞详情: - 摘要:Dragonfly使用JWT验证用户,但JWT的“Secret Key”是硬编码的,导致身份验证绕过。 - 代码示例: 3. PoC: - 使用代码生成JWT令牌: 4. 影响: - 攻击者可以以具有管理员权限的用户身份执行任何操作。 5. CVSS v3 base metrics: - Attack vector:Network - Attack complexity:Low - Privileges required:None - User interaction:None - Scope:Unchanged - Confidentiality:High - Integrity:High - Availability:High 6. CWE ID:CWE-321 7. 报告者:cokeBeer 这些信息详细描述了漏洞的性质、影响和修复建议,有助于开发人员了解和修复这个问题。