关键信息 漏洞概述 漏洞类型: 不当授权(JWT受众验证) 受影响版本: > 1.1.0 修复版本: 4.10.2 严重性: 高 (CVSS v3 基本分数: 8.1/10) 描述 Hono的JWT认证中间件默认未验证 (受众)声明。这可能导致使用该中间件的应用程序在没有显式受众检查的情况下接受其他受众的令牌,从而导致潜在的跨服务访问(令牌混淆)。 推荐的安全配置 可以通过添加新的 配置选项来启用RFC 7519兼容的受众验证。 报告者原始描述 总结: Hono JWT认证中间件不提供内置的 验证选项,可能导致混淆代理/令牌混淆问题。 标准要求: RFC 7519第4.1.3节规定,如果存在 声明,处理JWT时必须进行识别和验证。 实际影响: 在多个服务共享同一组IDP/JWKS和密钥的情况下,为一个受众颁发的令牌可能被另一个受众错误地接受。 影响 类型: 认证/授权弱点通过令牌混淆(混淆代理)。 受影响对象: 使用Hono且在多个服务中共享发行者/密钥并使用 区分令牌的任何用户。 可能后果: - 跨服务访问 - 边界侵蚀 推荐缓解措施 1. 添加 到中间件并强制执行RFC 7519语义。 2. 确保在JWT/JWKS流程中一致地实施受众验证。