CVE-2025-65730CVE-2025-65730是GoAway应用中的一个高危安全漏洞,CVSS评分高达8.8分。该漏洞存在于GoAway v0.62.18及之前所有版本中,由于应用程序在JWT令牌签名过程中使用了硬编码的密钥,导致攻击者可以伪造任意有效的认证令牌,从而绕过正常的身份验证机制。攻击者只需获取该硬编码密钥,即可自行签发具有管理员权限的JWT令牌,成功访问受保护的API端点和敏感资源。由于攻击向量为邻接网络(AV:A),攻击者需要处于目标网络的相邻位置,但无需任何认证凭证或用户交互即可利用此漏洞。此漏洞严重影响GoAway应用的安全性,可能导致未经授权的访问、数据泄露和系统完全沦陷。建议所有使用受影响版本的用户立即升级到v0.62.19或更高版本。
GoAway是一个基于Go语言开发的应用,其认证机制采用JWT(JSON Web Token)进行用户身份验证。在v0.62.18及之前版本中,JWT令牌的签名使用了硬编码的密钥(SECRET_KEY),该密钥在源代码中以明文形式存储在backend/api/auth.go文件的第48行附近。攻击者通过分析公开的源代码,可以轻易获取这个硬编码密钥。获取密钥后,攻击者可以构造任意的JWT载荷(如设置用户角色为admin、设置过期的exp时间为未来时间等),并使用该硬编码密钥对JWT进行签名,从而生成一个看似有效的认证令牌。当攻击者将伪造的JWT令牌附加到HTTP请求的Authorization头中时,中间件(backend/api/middleware.go)会验证令牌签名,由于使用的是相同的硬编码密钥,验证会成功通过,攻击者即可获得相应的访问权限。漏洞的利用不需要任何特殊权限或用户交互,属于典型的认证绕过漏洞。