关联漏洞
标题:JWE 安全漏洞 (CVE-2025-54887)Description:JWE是JSON Web Token开源的一个Ruby的JSON Web加密库。 JWE 1.1.0及之前版本存在安全漏洞,该漏洞源于加密JWE的认证标签可被暴力破解,可能导致机密性丧失。
Description
Proof of Concept for CVE-2025-54887
介绍
# PoC_CVE-2025-54887
This repository contains Proof-of-Concept (PoC) exploit for CVE-2025-54887.
This is a vulnerability in ruby-jwe (version <= 1.1.0) where the authentication tag of encrypted JWEs can be brute forced, which may result in loss of confidentiality and provide ways to craft arbitrary JWEs.
**Writeup:** [blog_link](https://medium.com/@5ing4m1404/poc-cve-2025-54887-ruby-jwe-authentication-tag-can-be-brute-forced-cd28176492bc) \
**Demonstration video:** [video_link](https://drive.google.com/file/d/1mAqC5OC9X6ktyDYTiW2jqSV0ys93QIa8/view?usp=sharing)
文件快照
[4.0K] /data/pocs/2c6b613e2e4e9b50a7fd5d779f5a17876fb60ad7
├── [ 870] exploit.rb
├── [2.1K] forge-jwe.rb
├── [1.1K] LICENSE
└── [ 571] README.md
0 directories, 4 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。