• 网站首页
  •   >   威胁情报
  •   >   正文
  • 威胁情报

    Flowise弱硬编码JWT密钥漏洞(CVE-2026-56271)

    发布日期:2026-07-13    浏览次数:

    Flowise弱硬编码JWT密钥漏洞(CVE-2026-56271)


    一、漏洞技术信息


    漏洞类型:根据开源情报,该漏洞属于安全特性绕过类型,具体表现为硬编码密钥导致的认证失效。攻击者可通过伪造令牌直接绕过系统的身份验证机制。

    影响产品及版本:漏洞影响的产品为 Flowise(一款基于LLM的开源应用开发平台),受影响的版本为 3.1.0 之前的版本,具体包括 3.0.13 及更早版本。

    攻击场景:攻击者可能利用弱硬编码默认 JWT 密钥对系统进行攻击。当系统管理员未配置自定义的环境变量(如 JWT_AUTH_TOKEN_SECRETJWT_REFRESH_TOKEN_SECRET 等)时,应用程序会静默回退到公开已知的默认值(如 'auth_token')。攻击者可利用这些默认密钥和默认的受众/发行者值,自行签发有效的 JSON Web Token (JWT),从而冒充任意用户(包括管理员)访问系统资源。

    在野利用情况:目前情报显示暂无明确的在野大规模利用迹象(in_the_wild: False),但鉴于 CVSS 评分高达 9.8(极危)且无需用户交互或权限即可利用,存在极高的被自动化扫描和利用风险。

    威胁团伙:当前情报中未明确关联特定的已知高级持续性威胁(APT)团伙,主要风险来自于自动化恶意脚本或 opportunistic attackers(机会主义攻击者)。


    二、安全活动事件分析


    事件一:2026712日,GitHub 官方安全团队发布安全公告(GHSA-cc4f-hjpj-g9p8),披露 Flowise 在企业级护照认证中间件中使用了弱硬编码默认 JWT 密钥,允许攻击者伪造有效令牌并绕过身份验证。

    事件二:2026712日,VulnCheck 安全研究团队指出该漏洞源于应用程序在环境变量缺失时静默回退至公共默认值,这一设计缺陷使得任何知晓默认配置的攻击者均可轻易获取管理员权限。


    三、技术分析和建议


    分析:基于当前情报,该漏洞的根本原因在于缺乏输入验证和配置检查机制。当关键的安全配置项(JWT 密钥、受众、发行者)未通过环境变量显式设置时,代码逻辑选择了使用硬编码的、公开的字符串作为默认值。由于 JWT 的特性,拥有签名密钥即可生成任何用户的合法令牌。这可能导致攻击者完全控制受影响的应用实例,读取敏感数据、执行未授权操作或植入后门。建议立即审查所有生产环境中 Flowise 的配置状态,确认是否使用了默认凭证。


    四、建议措施


    升级系统补丁:强烈建议受影响用户立即将 Flowise 升级至官方发布的最新版本(3.1.0 或更高),以修复此硬编码密钥问题。

    强制配置强密钥:如果暂时无法升级,必须确保设置了高强度的环境变量 JWT_AUTH_TOKEN_SECRET JWT_REFRESH_TOKEN_SECRET。避免使用任何默认值或简单字符串。

    检查环境配置:审计服务器环境变量,确保 JWT_AUDIENCE JWT_ISSUER 也被设置为非默认的唯一值。

    监控异常登录:在修复前,密切监控系统中的异常登录行为,特别是来自陌生 IP 地址的成功管理员登录尝试。


    五、结论概述


    综合分析开源情报和漏洞特点,我们得出结论:Flowise 在旧版本中存在严重的安全配置缺陷,其默认的硬编码 JWT 密钥使得身份验证机制形同虚设。由于该漏洞无需用户交互且攻击复杂度低,一旦暴露在公网或内网中,极易被自动化攻击工具利用从而导致系统沦陷。尽管目前尚无大规模在野利用报告,但考虑到其极高的 CVSS 评分,建议相关组织立即采取缓解措施,优先进行版本升级或配置加固。




    一审:胡洋

    二审:胡洋

    三审:杨文

    地址: 成都市外东成洛大道2025号 版权所有©成都大学 蜀ICP备05006454号电话:028-84616931  邮编:610106