CVE-2026-35039 — 神龙十问 AI 深度分析摘要

🚨 **本质**：fast-jwt 库的 `cacheKeyBuilder` 方法生成密钥不唯一。 💥 **后果**：引发缓存冲突，导致**用户身份误认**（IDOR风险），严重破坏认证安全性。

🔍 **CWE**：CWE-345 (Insufficient Verification of Data Authenticity)。 🐛 **缺陷点**：自定义缓存键生成逻辑存在碰撞漏洞，未能保证 Key 的唯一性。

📦 **组件**：nearform 出品的 **fast-jwt** (JSON Web Token 实现)。 📅 **版本**：**6.1.0 之前**的所有版本均受影响。

🕵️ **黑客能力**：通过构造特定 Token 利用缓存冲突，**冒充其他用户**。 🔓 **权限**：可获取未授权访问权限，读取或修改他人敏感数据。

📉 **门槛**：**低**。 🔑 **条件**：CVSS 评分显示无需认证 (PR:N)、无需用户交互 (UI:N)，攻击向量网络 (AV:N)。

🚫 **现状**：根据提供数据，**暂无**公开 PoC 或确证的在野利用报告 (pocs 为空)。

🔎 **自查**：检查项目依赖中 `fast-jwt` 版本是否 **< 6.1.0**。 🛠️ **扫描**：使用 SCA 工具检测是否存在自定义 `cacheKeyBuilder` 且未升级的情况。

✅ **修复**：官方已发布修复补丁。 🔗 **参考**：见 GitHub Commit `de12105` 及安全公告 GHSA-rp9m-7r4c-75qg。

🛡️ **规避**：若无法立即升级，**移除或禁用**自定义的 `cacheKeyBuilder` 配置，使用默认行为。 ⚠️ **注意**：这可能导致性能下降，但能消除冲突风险。

🔥 **优先级**：**高**。 📊 **理由**：CVSS 向量显示 **C:H / I:H** (机密性/完整性高影响)，且无需认证即可利用，建议尽快升级至 6.1.0+。