以下是从网页截图中获取到的关于漏洞的关键信息: 漏洞概览 CVE编号: CVE-2021-27884 GHSL编号: GHSL-2020-228 披露时间: 2021年2月24日 介绍 漏洞类型: Weak JSON Web Token (JWT) signing secret 受影响产品: YApi 测试版本: 最新提交到8e1f654 技术细节 JWT签名问题: 使用了不安全的伪随机数生成器 生成JWT签名密钥。 代码示例: 说明: 生成的浮点数经过base36编码后形成JWT签名密钥,但该密钥长度和组成较弱。 影响分析 基于生成器的弱点: 内部状态可从三个观察值重现,攻击者可能通过暴力破解计算未来密钥。 密码哈希攻击成本: 使用Hashcat进行估计,成本约在$8000至$24000之间。 公开披露时间线 报告提交: 2020年11月18日 公开发布: 2021年2月23日 致谢 发现与报告: GHSL团队成员@JarLob (Jaroslav Lobačevski)。 联系方式 联系方式: securitylab@github.com。 上述内容从多个维度全面概述了此漏洞的细节、影响以及披露过程。