从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Bad documentation of error handling in ParseWithClaims can lead to potentially dangerous situations - 严重性:Low - 发布者:oxisto - 发布时间:5 days ago - 包名:github.com/golang-jwt/jwt/v4 (Go) - 受影响版本:<= 4.5.0 - 已修复版本:4.5.1 2. 漏洞详情: - 摘要:ParseWithClaims 函数的错误处理文档不清晰,可能导致用户在处理过期和无效的令牌时忽略错误。如果用户只检查 jwt.ErrTokenExpired 错误,而忽略 jwt.ErrTokenSignatureInvalid 错误,可能会接受无效的令牌。 - 修复:已将错误处理逻辑从 v5 分支回退到 v4 分支。在新逻辑中,ParseWithClaims 函数将立即返回“危险”的情况(例如,无效签名),限制错误仅在签名有效但进一步验证失败的情况下(例如,签名有效但过期且具有错误的受众)。 - 工作绕过:已知更改了已建立函数的行为,因此从 4.5.1 更新可能不完全兼容。如果无法更新到 4.5.0,请确保正确检查所有错误,以避免上述情况。 3. 代码示例: 4. 漏洞编号: - CVE-2024-51744 - CWE-1118 5. 报告者:yuligesc