关键信息 漏洞名称 Hardcoded JWT Secret Vulnerability in Litemall (≤ v1.8.0) (CWE-798) 影响版本 Litemall versions ≤ v1.8.0 漏洞位置 litemall-wx-api/src/main/java/org/linlinjava/litemall/wx/util/JwtHelper.java 漏洞描述 开发者将JWT密钥硬编码到源代码中,导致签名JSON Web Tokens (JWTs)的密钥可预测且静态。攻击者可以利用此弱点伪造有效的JWT,从而绕过身份验证和授权检查,导致权限提升和未经授权的访问。 相关漏洞代码 影响 伪造JWT令牌,绕过身份验证机制 未经授权访问受保护资源和管理功能 权限提升和潜在的全系统妥协 根本原因 在应用程序源代码中直接硬编码敏感加密密钥(JWT密钥),违反了CWE-798: Use of Hard-coded Credentials。 修复建议 不要直接在代码中嵌入JWT密钥,而是在运行时生成一个强大且不可预测的JWT密钥(例如,在静态初始化块中或从安全配置源中)以减轻可预测密钥攻击。