一、 漏洞 CVE-2025-7080 基础信息
漏洞信息
# Done-0 Jank JWT Token jwt_utils.go 使用硬编码的密码
## 概述
在 Done-0 Jank 的组件 JWT Token Handler 中的文件 `internal/utils/jwt_utils.go` 内一个未知函数中发现了一个漏洞。此漏洞允许通过操控特定参数 `accessSecret/refreshSecret` 使用硬编码密码,从而可能导致攻击。
## 影响版本
该漏洞影响至 `322caebbad10568460364b9667aa62c3080bfc17` 版本。
## 细节
- **受影响文件与组件**:`internal/utils/jwt_utils.go` 内的 JWT Token Handler 组件。
- **攻击利用方式**:通过操控 `accessSecret/refreshSecret` 参数(输入为 `jank-blog-secret/jank-blog-refresh-secret`),触发硬编码密码的使用。
- **攻击复杂性**:较高。
- **可利用性**:较难。
- **公开情况**:漏洞利用方法已公开,可能已被利用。
- **版本详情**:该产品采用连续交付滚动发布,无法提供具体受影响版本及更新版本信息。
## 影响
此漏洞可以通过远程方式被利用,这意味着攻击者无需直接访问目标系统即可发起攻击。然而,对攻击成功的复杂性和可利用性的要求较高,降低了一些风险。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-7080 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-7080 的情报信息
-
标题: Vulnerability: Hardcoded JWT Secret Leads to Authentication Bypass · Issue #9 · Done-0/Jank -- 🔗来源链接
标签: exploit issue-tracking
神龙速读
-
-
标题: CVE-2025-7080 Done-0 Jank JWT Token jwt_utils.go hard-coded password (EUVD-2025-20136) -- 🔗来源链接
标签: vdb-entry technical-description
神龙速读
-
标题: Submit #603746: https://github.com/Done-0 https://github.com/Done-0/Jank 9b7b0cb Authorization Bypass -- 🔗来源链接
标签: third-party-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-7080