CVE-2025-47945 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:JWT签名密钥默认值太弱。 💥 **后果**:攻击者可伪造令牌,直接**接管账户**,完全控制用户数据。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-453**:不正确的默认变量初始化。 📍 **缺陷点**:Donetick 在生成 JWT 时使用了**默认且脆弱的密钥**,缺乏随机性和强度。
Q3影响谁?(版本/组件)
📦 **产品**:Donetick(开源任务/家务管理应用)。 ⚠️ **版本**:**0.1.44 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
👮 **权限**:攻击者无需认证即可伪造合法用户身份。 📂 **数据**:可读取、修改所有**任务、家务记录**等敏感用户数据,实现**账户接管**。
Q5利用门槛高吗?(认证/配置)
📉 **门槛极低**。 🔓 **无需认证**:CVSS 显示 PR:N(无需权限)。 🌐 **无需交互**:UI:N(无需用户交互)。 ⚡ **远程利用**:AV:N(网络攻击面)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **无现成 Exp**。 📄 数据中 `pocs` 为空,暂无公开 PoC 或**在野利用**报告。但逻辑简单,编写 Exp 难度低。
Q7怎么自查?(特征/扫描)
🔍 **自查方法**: 1. 检查 JWT 头部/载荷签名验证逻辑。 2. 确认是否使用了**硬编码默认密钥**。 3. 扫描工具检测弱密钥特征。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**。 🔗 官方已发布安全公告 (GHSA-hjjg-vw4j-986x) 及代码提交修复。 📌 **建议**:立即升级至 **0.1.44 或更高版本**。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**: 1. **强制升级**:尽快更新到修复版本。 2. **密钥轮换**:若无法升级,手动配置强随机 JWT 密钥,覆盖默认值。 3. **监控日志**:关注异常令牌签发行为。
Q10急不急?(优先级建议)
🔥 **优先级:高**。 ⚖️ **CVSS 评分**:H (高危)。 📢 **建议**:虽然无公开 Exp,但**利用成本极低**且后果严重(账户接管)。建议**立即行动**,优先修复。