关键信息 漏洞概述 CVE ID: CVE-2025-61152 报告者: Javier Morales Gómez 日期: 2025年10月 严重性: 严重 (CVSS v3.1 Score: 9.8) 受影响组件: python-jose 受影响版本: <= 3.3.0 漏洞类型: 认证绕过 / 错误的访问控制 漏洞描述 Python包 存在一个漏洞,允许攻击者使用 算法创建和解码未签名的JWT令牌。库在不执行任何签名验证的情况下接受并解码这些令牌,导致完全认证绕过。 技术细节 当JWT令牌使用 创建时,库不会强制执行签名验证。因此,任何攻击者都可以伪造任意声明(如 ),从而获得未经授权的访问。 影响 依赖 进行身份验证或授权的应用程序容易受到以下攻击: 认证绕过 权限提升 未经授权的访问 身份验证层中的潜在拒绝服务 攻击向量 远程攻击者可以发送一个带有 且没有签名的恶意JWT令牌。如果服务器使用 解码而不显式拒绝 算法,攻击者将获得与任何用户(包括管理员角色)相同的完全访问权限。 缓解措施 在上游补丁可用之前: 1. 显式拒绝 令牌。 2. 强制执行签名验证(例如,HS256、RS256)。 3. 审计所有JWT解析点以确保不接受未签名的令牌。 发现者 姓名: Javier Morales Gómez GitHub: @javiermorales36 LinkedIn: Profile 时间线 2025年9月: 漏洞被发现并报告给MITRE 2025年10月: CVE-2025-61152由MITRE预留 2025年10月: 公开披露咨询