CVE-2025-59870HCL MyXalytics是一款由HCL Software提供的企业级健康分析平台。该平台在web应用实现中使用了JWT(JSON Web Token)进行用户身份认证和会话管理。然而,安全研究发现该应用存在严重的安全配置问题:JWT的签名密钥被硬编码或静态配置在应用程序中,且缺乏密钥轮换机制。这意味着攻击者一旦获取到该静态签名密钥,就可以伪造任意用户的JWT令牌,从而绕过正常的身份认证流程。攻击者可以利用伪造的JWT令牌以管理员或其他合法用户身份访问系统,执行未授权操作,窃取敏感数据,或在系统内进行进一步的横向移动。由于该漏洞无需特殊权限即可利用,且CVSS评分达到7.4分,属于高危安全漏洞,建议相关用户立即采取修复措施。
该漏洞属于CWE-345(认证机制验证不充分)和CWE-798(使用硬编码凭证)的范畴。在HCL MyXalytics的web应用中,JWT签名密钥以静态方式硬编码在源代码或配置文件中,而非使用动态生成的安全随机密钥。攻击者可以通过以下方式利用此漏洞:1)通过代码审计、配置文件泄露或API端点探测获取硬编码的JWT签名密钥;2)使用获取的密钥构造恶意的JWT令牌,修改其中的用户ID、角色和其他声明字段;3)将伪造的JWT令牌提交到应用服务器,绕过身份验证。由于JWT在设计上是自包含的(self-contained),服务器仅验证签名有效性而不重新验证内部数据的真实性,因此攻击者可以完全控制令牌内容。攻击者通常会尝试伪造具有管理员权限的令牌,以获取最高权限访问。