平台
python
组件
joserfc
修复版本
1.3.4
1.4.1
1.3.5
CVE-2025-65015 是 joserfc 库中的 JWT 信息泄露漏洞。该漏洞允许攻击者将伪造的 JWT 负载嵌入到 Python 日志消息中,可能导致敏感信息泄露。该漏洞影响 joserfc 版本小于或等于 1.3.4 的应用程序。建议升级到 1.3.5 版本以解决此问题。
攻击者可以利用此漏洞通过发送包含恶意 JWT 负载的 HTTP 请求,诱使 Python 日志记录系统记录包含该负载的日志消息。由于 ExceededSizeError 异常消息包含未解码的 JWT token 部分,攻击者可以构造一个非常大的 JWT 负载,并将其嵌入到日志消息中。如果应用程序使用诸如 Sentry 之类的日志记录和诊断工具,攻击者可以利用此漏洞泄露敏感信息,例如 API 密钥、用户凭据或其他机密数据。这种攻击模式类似于某些 JWT 相关的安全事件,可能导致严重的权限提升和数据泄露。
此漏洞已公开披露,且 CVSS 评分为 CRITICAL,表明其潜在影响非常严重。目前尚无公开的 PoC 代码,但由于漏洞的严重性和 JWT 的广泛使用,预计未来可能会出现。CISA 尚未将其添加到 KEV 目录中,但应密切关注。
Applications using joserfc for JWT handling, particularly those deployed behind web servers with inadequate input validation or those that log JWT data without proper sanitization, are at significant risk. Shared hosting environments where server configurations are less controllable are also particularly vulnerable.
• python / server:
grep -r 'joserfc.jwt.decode' /path/to/your/python/project/
journalctl -u your_app_name | grep 'ExceededSizeError'• generic web:
curl -I https://your-app.com/api/endpoint | grep 'Authorization:'disclosure
漏洞利用状态
EPSS
0.07% (20% 百分位)
CISA SSVC
最有效的缓解措施是升级到 joserfc 1.3.5 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:首先,确保 Python 日志记录配置不会记录过多的信息,特别是 JWT 负载。其次,实施严格的输入验证,以防止应用程序接收过大的 JWT 负载。第三,如果使用日志记录和诊断工具,请配置它们以过滤掉包含 JWT 负载的日志消息。最后,监控应用程序日志,以检测任何异常活动,例如包含大量 JWT 负载的日志消息。
将 joserfc 库更新到 1.3.5 或更高版本,或 1.4.2 或更高版本。这将修复由记录任意大小的 JWT Payload 引起的非受控资源消耗漏洞。您可以使用 `pip install joserfc==1.4.2` 或可用的最新版本进行更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-65015 是 joserfc 库中的一个漏洞,允许攻击者将伪造的 JWT 负载嵌入到 Python 日志消息中,可能导致敏感信息泄露。
如果您的应用程序使用了 joserfc 版本小于或等于 1.3.4,则可能受到此漏洞的影响。
建议升级到 joserfc 1.3.5 或更高版本以修复此漏洞。
目前尚无公开的 PoC 代码,但由于漏洞的严重性,预计未来可能会出现。
请查阅 joserfc 官方文档或 GitHub 仓库以获取更多信息。
上传你的 requirements.txt 文件,立即知道是否受影响。