CVE-2026-34950 — 神龙十问 AI 深度分析摘要

🚨 **本质**：fast-jwt 库的公钥匹配正则存在缺陷，前导空格可绕过 `^` 锚定符。 💥 **后果**：导致 **JWT 算法混淆攻击**，攻击者可伪造或篡改 Token，破坏身份验证完整性。

🔍 **CWE**：CWE-327 (使用不安全的算法或密钥管理)。 🐛 **缺陷点**：`publicKeyPemMatcher` 正则表达式处理不当，未能严格校验密钥字符串格式，允许 **前导空格** 干扰匹配逻辑。

📦 **组件**：nearform 开源的 **fast-jwt** (JSON Web Token 实现)。 📅 **版本**：**6.1.0 及之前版本** 均受影响。

🔓 **权限**：攻击者可绕过身份验证，获取 **未授权访问权限**。 📊 **数据**：可能导致敏感数据泄露或非法操作，CVSS 评分显示 **机密性(C)和完整性(I)** 危害极高。

🚪 **门槛**：**低**。 🌐 **条件**：网络攻击向量 (AV:N)，无需认证 (PR:N)，无需用户交互 (UI:N)，攻击复杂度低 (AC:L)。

🧪 **Exp**：当前公开数据中 **暂无** 现成 PoC 或确凿的在野利用报告。 ⚠️ **注意**：虽然无公开 Exp，但原理清晰，利用风险依然存在。

🔎 **自查**：检查项目中是否依赖 `fast-jwt` 且版本 **≤ 6.1.0**。 📝 **代码**：审查 JWT 验证逻辑，看是否直接传入可能包含空格的密钥字符串，未做严格清洗。

🛡️ **补丁**：官方已发布安全公告 (GHSA-mvf2-f6gm-w987)。 ✅ **行动**：请升级至 **6.1.1 或更高版本** 以修复此正则绕过问题。

🚧 **临时规避**：若无法立即升级，需在代码层面 **手动清洗** 传入的公钥字符串，去除前导/尾随空格。 🔒 **建议**：同时强制校验 JWT Header 中的算法字段，防止算法混淆。

⚡ **优先级**：**高**。 📉 **理由**：CVSS 3.1 基础分高，无需认证即可利用，且涉及核心身份验证组件。建议 **立即升级** 或实施临时缓解措施。