JVN#63368617: “FOD” 应用使用硬编码加密密钥
发布时间: 2025年11月25日 最后更新: 2025/11/25
概述
富士电视网络公司(Fuji Television Network, Inc.)提供的“FOD”应用使用了硬编码的加密密钥。
受影响的产品
- Android版“FOD”应用,5.2.0之前版本
- iOS版“FOD”应用,5.2.0之前版本
描述
富士电视网络公司提供的“FOD”应用使用了硬编码的加密密钥。
使用硬编码加密密钥(CWE-321)
- CVSS:4.0评分: AV:L/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基础分数 5.1
- CVSS:3.0评分: AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基础分数 4.0
- CVE编号: CVE-2025-64304
该密钥用于处理JWT数据。
影响
加密密钥可能被窃取。
开发方认为其影响极其有限。例如,在通常情况下,很难在其服务上进行账户冒充。
解决方案
更新软件 根据开发方提供的信息,请将应用程序更新至最新版本。
开发方已发布以下不包含任何加密密钥的版本:
- Android版“FOD”应用 5.2.0版本
- iOS版“FOD”应用 5.2.0版本
开发方表示,受影响的版本在调用时会要求用户立即更新。受影响的版本中的硬编码密钥已于2025年11月17日被开发方作废。使用这些密钥的通信和处理已经无法进行。
供应商状态
| 供应商 | 链接 |
|---|---|
| Fuji Television Network, Inc. | 关于使用硬编码加密密钥引起的漏洞(日文) |
参考资料
- JPCERT/CC 附录
- JPCERT/CC 漏洞分析
- 致谢信息
- 其他信息
- JPCERT Alert
- JPCERT Reports
- CERT Advisory
- CPNI Advisory
- TRnotes
- CVE: CVE-2025-64304
- JVN iPedia: JVNDB-2025-000108