漏洞详情:
Dromara Lamp-Cloud是基于Jdk11 + SpringCloud + SpringBoot 开发的微服务中后台快速开发平台,专注于多租户(SaaS架构)解决方案,亦可作为普通项目(非SaaS架构)的基础开发框架使用,目前已实现插拔式数据库隔离、SCHEMA隔离、字段隔离等租户隔离方案。 Dromara Lamp-Cloud v3.8.1 之前版本存在安全漏洞,该漏洞源于在创建和验证 Json Web Token 时被发现使用硬编码的加密密钥,攻击者利用该漏洞可以通过精心设计的 JWT 令牌对应用程序进行身份验证。
影响版本:
3.4.0<=top.tangyh.basic:lamp-util<3.7.0,3.4.0<=top.tangyh.basic:lamp-core<3.7.0
相关链接:
https://github.com/dromara/lamp-cloud/issues/183
https://github.com/xubowenW/JWTissues/blob/main/lamp%20issue.md
https://github.com/dromara/lamp-cloud/commit/31f79b122d85ed1b4f354673212692aa8205437a
https://github.com/advisories/GHSA-xr8c-mq5x-5f56
其他修复方法:
目前官方已有可更新版本,建议受影响用户升级至最新版本
缓解方案:
暂无
原文始发于微信公众号(飓风网络安全):【漏洞预警】Dromara Lamp-Cloud 安全漏洞(CVE-2023-31579)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论