平台
nodejs
组件
hcengineering-huly-platform
修复版本
0.7.383
CVE-2026-5622 是一个安全漏洞,影响 Huly Platform 0.7.382 版本。该漏洞存在于 token.ts 文件中,可能导致密钥硬编码。远程攻击者可以利用此漏洞,但攻击复杂度较高。
CVE-2026-5622 影响 hcengineering 的 Huly 平台,特别是版本 0.7.382。该漏洞存在于 JWT 令牌处理中,具体位于 JWT Token Handler 组件中的 token.ts 文件。问题在于,通过恶意 secret 输入来操纵 SERVER_SECRET 参数,导致使用硬编码的加密密钥。这使得攻击者可能远程破坏系统的安全性,访问或修改由这些令牌保护的数据。利用的复杂性被认为是高的,利用的难度也同样很大,尽管暴露密钥的内在风险是重大的。
该漏洞可以远程利用,这意味着攻击者不需要对受影响的系统进行物理访问。攻击包括在 JWT 令牌处理过程中操纵 SERVER_SECRET 参数。攻击的复杂性源于需要了解令牌处理系统的内部工作原理以及获取或猜测硬编码的密钥的难度。尽管利用很困难,但潜在的影响很高,因为它允许攻击者访问机密信息或在系统上执行未经授权的操作。供应商已尽早联系的事实表明正在进行解决方案开发,但缺乏即时修复需要谨慎。
漏洞利用状态
EPSS
0.03% (10% 百分位)
CISA SSVC
目前,hcengineering(供应商)尚未为 CVE-2026-5622 提供官方修复程序(fix)。最有效的即时缓解措施是,在发布更新之前避免使用 Huly 平台版本 0.7.382。强烈建议用户直接联系 hcengineering 以获取有关解决方案可用性的信息,并随时了解任何安全更新。在此期间,可以实施额外的安全措施,例如加强访问控制并监控网络流量是否存在可疑活动。识别并更正硬编码密钥的使用对于审查源代码至关重要。
Actualice a una versión corregida de la plataforma Huly. La vulnerabilidad radica en el uso de una clave criptográfica codificada de forma rígida en el archivo token.ts. Verifique la documentación oficial de hcengineering para obtener instrucciones de actualización o mitigación.
漏洞分析和关键警报直接发送到您的邮箱。
JWT (JSON Web Token) 是一种用于将信息作为 JSON 对象安全传输的开放标准。它通常用于身份验证和授权。
在源代码中使用硬编码密钥会使攻击者更容易找到并利用它。密钥应在代码之外安全地存储。
立即停止使用版本 0.7.382,并联系 hcengineering 以获取解决方案。在此期间,实施额外的安全措施。
如果您正在使用 Huly 平台 0.7.382,那么您很可能容易受到攻击。进行安全审计以确认。
目前没有可用的特定工具来检测此漏洞。检测需要手动审查源代码。
CVSS 向量