关键信息总结 漏洞概述 漏洞类型: 硬编码密钥的JWT(JSON Web Token)生成问题。 发现日期: 2025年6月10日。 受影响项目: hippo4j,一个开源任务调度平台。 漏洞细节 硬编码密钥: 在 文件中,存在硬编码的密钥用于JWT生成。 影响版本: 从1.6.0到1.9.9的所有版本。 受影响API: 所有需要 认证的API。 代码路径: 测试环境设置 JDK版本: JDK 8。 构建工具: Maven。 数据库: MySQL。 启动服务: 使用IDEA启动项目,服务运行在 。 代码分析 关键代码: 中的 方法使用了硬编码的密钥 。 硬编码密钥: 。 复现步骤 1. 正常操作流程 - 使用用户名和密码获取 。 - 使用 获取用户信息。 2. 伪造 - 实现伪造脚本,利用硬编码密钥生成有效的JWT。 - 使用伪造的 获取用户信息,证明其有效性。 安全风险 攻击者可以利用硬编码密钥生成有效的JWT,冒充任何用户,包括特权用户如 。 这对依赖JWT完整性的系统构成严重安全威胁。