CVE-2025-15108:PandaXGO PandaX 中硬编码加密密钥漏洞分析

本文分析了CVE-2025-15108漏洞,该漏洞存在于PandaXGO PandaX的JWT密钥处理组件中,因config.yml文件使用硬编码加密密钥,导致可遭受远程攻击,攻击复杂度高但利用难度较大。

CVE-2025-15108:PandaXGO PandaX 中硬编码加密密钥的使用

严重性: 中等 类型: 漏洞

CVE-2025-15108

在 PandaXGO PandaX 版本至 fb8ff40f7ce5dfebdf66306c6d85625061faf7e5 中发现了一个漏洞。此漏洞影响了 JWT Secret Handler 组件中 config.yml 文件的某个未知功能。对参数 key 的操纵导致了使用硬编码的加密密钥。攻击可以从远程发起。此攻击的特点是高复杂性。据报告,可利用性较困难。漏洞利用代码现已公开,并可能被使用。该产品采用滚动发布系统进行持续交付,因此未披露受影响或已更新版本的具体信息。项目方很早就通过问题报告得知了此问题,但尚未作出回应。

来源: CVE Database V5 发布时间: 2025年12月27日,星期六

技术细节

  • 数据版本: 5.2
  • 分配者简称: VulDB
  • 预留日期: 2025-12-26T23:10:15.495Z
  • Cvss 版本: 4.0
  • 状态: 已发布
  • 威胁 ID: 69500e0b33c6eb8342f40260
  • 添加到数据库时间: 2025年12月27日,下午4:49:15
  • 最后更新时间: 2025年12月29日,上午4:10:37
  • 浏览量: 15
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次