一、 漏洞 CVE-2025-7079 基础信息
漏洞信息
# mao888 bluebell-plus JWT Token jwt.go 使用硬编码密码
## 概述
在 mao888 的 bluebell-plus 版本 2.3.0 及以下版本中发现了一个问题漏洞。该漏洞影响 JWT Token Handler 组件中的文件 `bluebell_backend/pkg/jwt/jwt.go` 的某些未知处理过程。通过操纵输入参数 `mySecret` 和 `bluebell-plus` 可导致使用硬编码密码。此攻击可远程发起,但攻击复杂度较高。
## 影响版本
- mao888 bluebell-plus 2.3.0 及以下版本
## 细节
- 漏洞影响 `bluebell_backend/pkg/jwt/jwt.go` 文件中的 JWT Token Handler 组件。
- 漏洞通过操纵参数 `mySecret` 和输入 `bluebell-plus` 导致使用硬编码密码。
- 攻击可远程发起,但复杂度和利用难度较高。
- 漏洞已公开披露,可能存在利用情况。
## 影响
- 攻击者可能通过操纵特定参数触发硬编码密码使用。
- 利用该漏洞的复杂性及难度较高,但已公开的利用方法可能增加风险。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-7079 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-7079 的情报信息
-
标题: Vulnerability: Hardcoded JWT Secret Leads to Authentication Bypass · Issue #35 · mao888/bluebell-plus -- 🔗来源链接
标签: exploit issue-tracking
神龙速读
- https://vuldb.com/?ctiid.314993 signature permissions-required
- https://vuldb.com/?id.314993 vdb-entry technical-description
-
标题: Submit #603726: https://github.com/mao888 https://github.com/mao888/bluebell-plus v2.3.0 Authorization Bypass -- 🔗来源链接
标签: third-party-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-7079