关键漏洞信息 漏洞概述 标题: Insufficient Token Entropy Allows Authentication Bypass via Brute Force 严重性: Critical CVE ID: CVE-2025-64097 CVSS v4.0: 9.5/10 受影响的软件 Package: ghcr.io/nerves-hub/nerves-hub (oci), nerves_hub (otp) Affected versions: >= 1.0.0 Patched versions: 2.3.0 Git Commits: - Affected: a8edab4e73e6251a0a8940f16320d01913b012e8 - Patched: 844d7479977947628960c69dd85e7a0a9896a04f 影响 NervesHub 中的漏洞允许攻击者通过暴力破解用户 API 令牌,因为之前发布的令牌格式可预测。令牌包含可识别的用户组件,并且未经过加密保护,容易被猜测或枚举。 修复措施 在 v2.3.0 中修复,引入了: 使用 生成强加密随机令牌 存储前对令牌进行哈希处理,防止数据库被攻破时的误用 上下文感知的令牌存储,区分会话和 API 令牌 绕过方法 无有效临时修补方案;建议升级软件。在敏感环境中,可考虑临时封锁对 NervesHub 服务器的访问以限制暴露。 引用链接 PR #2024 – Revamp of user token storage and management Release v2.3.0