Strapi users-permissions - JWT Algorithm Confusion via Missing Algorithm Configuration 漏洞概述 Strapi users-permissions 插件在插件 未显式配置时,未能限制 JWT 算法,允许接受 HS384 和 HS512 令牌以及 HS256。攻击者拥有 可以生成使用非标准 HMAC 变体的令牌,从而绕过算法限制并削弱身份验证控制。 影响范围 影响版本: Strapi < 5.7.0 修复版本: 5.7.0 (在 commit a4723b4 中修复) 修复方案 升级到 Strapi 5.7.0 或更高版本,确保 显式配置,以限制 JWT 算法的使用。 参考链接 Pull Issue Product Details Patch Commit 其他信息 严重性: 中等 日期: 2026年6月29日 CVE: CVE-2026-57997 CWE: CWE-327 使用损坏或风险加密算法 CVSS: 6.3 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 贡献者: BLACKS7ORM