一、 漏洞 CVE-2025-68931 基础信息

                                        # Jervis AES CBC 模式无认证漏洞

## 概述
Jervis库在2.2版本之前使用AES/CBC/PKCS5Padding加密模式，缺乏消息认证机制，易受填充预言（padding oracle）攻击和密文篡改。

## 影响版本
- 受影响版本：低于2.2的版本
- 修复版本：2.2及以后版本

## 细节
加密实现中使用了AES/CBC/PKCS5Padding，但未集成完整性校验或身份验证机制。攻击者可利用该缺陷构造恶意输入，通过观察解密错误响应推测明文内容或篡改加密数据。

## 影响
- 可能导致敏感信息泄露（通过填充预言攻击）
- 允许攻击者篡改密文，可能引发权限提升或配置劫持
- 完整性与机密性保障失效
                                        

二、漏洞 CVE-2025-68931 的公开POC

三、漏洞 CVE-2025-68931 的情报信息

• 标题： AES CBC Mode Without Authentication · Advisory · samrocketman/jervis · GitHub -- 🔗来源链接

  标签：x_refsource_CONFIRM

  神龙速读：

                                          ### 关键信息
  
  - **CVE ID**: CVE-2025-68931
  - **Severity**: Critical
  - **Package**: net.gleske:jervis (Maven)
  - **Affected Versions**: < 2.2
  - **Patched Versions**: 2.2
  - **Vulnerability**: 
      - The package uses AES/CBC/PKCS5Padding which lacks authentication, making it vulnerable to padding oracle attacks and ciphertext manipulation.
  - **Impact**:
      - Severity is low for internal uses of the library.
      - Critical if consumers use these methods directly.
      - Jervis uses RSA and SHA-256 checksums for additional security measures.
  - **Patches**:
      - Upgrade to Jervis 2.2.
      - Migrate from AES/CBC/PKCS5Padding to AES/GCM/NoPadding.
  - **Workarounds**: None
  - **References**:
      - [Padding Oracle Attacks](http://example.com)
                                          

  

• 标题： Merge branch 'advisory-fix-1' · samrocketman/jervis@c3981ff · GitHub -- 🔗来源链接

  标签：x_refsource_MISC

  
• https://nvd.nist.gov/vuln/detail/CVE-2025-68931

四、漏洞 CVE-2025-68931 的评论