关键漏洞信息 漏洞标题 Weak Default JWT Secret 严重性 Critical (CVSS v3 base metrics: 9.1/10) 影响版本 Affected versions: <= v0.1.43 Patched versions: v0.1.44 描述 Summary: 弱默认JWT密钥允许攻击者伪造令牌并接管账户,影响自托管和官方实例。 Details: 应用程序使用JSON Web Tokens (JWT)进行身份验证,但签名密钥具有弱默认值。虽然系统管理员有责任更改它,但这种方法是不充分的。在实时版本中也存在此问题。 PoC (概念验证) 影响 Impact: 任何用户的完整账户接管。 其他信息 CVE ID: CVE-2025-47945 Weaknesses: CWE-453, CWE-1188 Reporter: s4dmach1ne