一、 漏洞 CVE-2025-30204 基础信息
漏洞信息
                                        # jwt-go 在解析头部时允许过度的内存分配

## 漏洞描述

### 概述
golang-jwt是一个用Go语言实现的JSON Web Tokens库。在版本3.2.0到5.2.1以及4.5.1之前的版本中,`parse.ParseUnverified`函数对未验证的数据(Authorization header中的Bearer token)进行拆分时会导致大量内存分配。

### 影响版本
- 3.2.0 - 5.2.1
- 4.5.1及之前版本

### 细节
`parse.ParseUnverified`函数通过调用`strings.Split`方法对传入的参数进行拆分。由于输入数据是未验证的数据,攻击者可以通过在Authorization header中使用很多`.`字符构造恶意请求,导致该函数执行时产生大量的内存分配(O(n)字节)。

### 影响
当攻击者发送一个包含大量`.`字符的恶意请求时,会导致高内存消耗,可能引发DoS(拒绝服务)攻击。这个问题已经在5.2.2和4.5.2版本中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
jwt-go allows excessive memory allocation during header parsing
来源:美国国家漏洞数据库 NVD
漏洞描述信息
golang-jwt is a Go implementation of JSON Web Tokens. Starting in version 3.2.0 and prior to versions 5.2.2 and 4.5.2, the function parse.ParseUnverified splits (via a call to strings.Split) its argument (which is untrusted data) on periods. As a result, in the face of a malicious request whose Authorization header consists of Bearer followed by many period characters, a call to that function incurs allocations to the tune of O(n) bytes (where n stands for the length of the function's argument), with a constant factor of about 16. This issue is fixed in 5.2.2 and 4.5.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
不对称的资源消耗(放大攻击)
来源:美国国家漏洞数据库 NVD
漏洞标题
jwt-go 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
jwt-go是golang-jwt开源的一个Go语言的JWT实现。 jwt-go 5.2.2之前版本和4.5.2之前版本存在安全漏洞,该漏洞源于parse.ParseUnverified函数在处理恶意请求时可能导致内存分配问题。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-30204 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-30204 的情报信息
四、漏洞 CVE-2025-30204 的评论

暂无评论

发表评论