一、 漏洞 CVE-2024-31033 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
JJWT(Java JWT)在0.12.5及之前版本中,忽略了某些字符,导致用户可能错误地认为他们使用的是强密钥。受影响的代码包括`DefaultJwtParser`类中的`setSigningKey()`方法和`DefaultJwtBuilder`类中的`signWith()`方法。

## 影响版本
- JJWT <= 0.12.5

## 细节
该漏洞在于`setSigningKey()`和`signWith()`方法处理签名密钥时忽略了某些字符,从而可能导致生成的密钥比预期的不安全。开发人员可能无法正确检查密钥强度,增加了安全性问题。

## 影响
由于漏洞的存在,攻击者可能利用弱密钥来伪造JWT令牌,进而获取未经授权的访问权限。然而,供应商否认存在漏洞,认为除非用户错误使用了JJWT,否则不会导致“忽略了”字符的行为,并且实际测试的版本已经过时了至少六年。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
JJWT (aka Java JWT) through 0.12.5 ignores certain characters and thus a user might falsely conclude that they have a strong key. The impacted code is the setSigningKey() method within the DefaultJwtParser class and the signWith() method within the DefaultJwtBuilder class. NOTE: the vendor disputes this because the "ignores" behavior cannot occur (in any version) unless there is a user error in how JJWT is used, and because the version that was actually tested must have been more than six years out of date.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Java JWT 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Java JWT是jwtk开源的一个用于 Java 和 Android 的 JSON Web 令牌。 Java JWT (JJWT)0.12.5版本存在安全漏洞,该漏洞源于 DefaultJwtParser 类中的 setSigningKey() 方法和 DefaultJwtBuilder 类中的 signWith() 方法中存在安全问题,会忽略某些字符,导致用户认为拥有强密钥。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-31033 的公开POC
# POC 描述 源链接 神龙链接
1 Details of CVE-2024-31033 https://github.com/2308652512/JJWT_BUG POC详情
三、漏洞 CVE-2024-31033 的情报信息