ApacheAPISIXJWT身份验证绕过漏洞(CVE-2026-39999)

admin 2026-07-12 05:48:02 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: ApacheAPISIX3.16.0版本的jwt-auth插件存在JWT算法混淆漏洞(CVE-2026-39999),CVSS评分9.1。攻击者可利用公钥伪造令牌绕过身份验证,可能暴露后端服务。建议升级至3.16.1或更高版本,并审查访问日志排查异常令牌。 综合评分: 90 文章分类: 漏洞分析,安全建设,应用安全,网络安全,解决方案


cover_image

Apache APISIX JWT身份验证绕过漏洞(CVE-2026-39999)

sec随谈 sec随谈

sec随谈

2026年7月9日 08:33 北京

在小说阅读器读本章

去阅读

摘要

Apache APISIX 3.16.0版本的jwt-auth插件中存在一个JWT算法混淆漏洞。该漏洞被追踪为CVE-2026-39999,未经身份验证的攻击者可借此伪造令牌并绕过身份验证。Apache已在APISIX 3.16.1版本中修复了该问题。

为何重要

APISIX是一款广泛使用的API网关,因此一次APISIX身份验证绕过攻击可能暴露其背后的所有服务。该漏洞CVSS评分为9.1,属于严重级别。攻击者无需任何凭据,仅需获取消费者的公钥即可,而该公钥本身就是被设计为公开的。

其危害还可能进一步扩大。如果被冒充的用户拥有管理员权限范围,攻击者甚至可能进一步访问APISIX管理API。这一结果取决于具体的网络规则和管理员访问权限设置。

攻击原理

该问题属于典型的JWT算法混淆漏洞。APISIX根据消费者配置的算法来选取验证密钥,但却根据令牌请求头中的alg字段来选取验证函数,而该字段是攻击者可控的。

以配置为RS256的消费者为例,此时APISIX会将公钥交给验证器使用。攻击者随后可将请求头设置为HS256,并使用该公钥作为HMAC密钥对令牌进行签名。结果,验证得以通过,攻击者便能以任意用户身份完成认证。研究人员已演示了该绕过手法,但目前尚未确认存在在野利用活动。

受影响版本

Apache官方列出3.16.0及之前的所有版本均受影响。非对称密钥验证路径是通过3.16.0版本中新增的解析器模块引入的,这也扩大了漏洞的暴露面。只有配置为RS256、ES256或PS256的消费者才面临此风险。

这并非运维人员的操作失误。RS256配置本就存在于官方架构定义、文档说明和测试用例中,因此受影响的部署方式实际上是遵循了官方支持的指导做法。此外,管理员此前也没有选项可以强制指定允许使用的验证算法。

补丁与缓解措施

请升级至APISIX 3.16.1或更高版本,该补丁强制执行配置的算法要求。修复方案增加了一项交叉校验机制,用于比对令牌中的alg字段与消费者的配置设置,一旦发现不匹配即拒绝该令牌。更新的3.17.0版本还捆绑了其他安全修复。在完成补丁更新之前,建议将受JWT保护的路由访问限制在可信网络范围内。

同时,建议审查访问日志,排查针对配置为RS256的消费者却使用HS256算法的令牌,因为这种不匹配的情况往往意味着存在攻击尝试。今年6月底,一名研究人员在oss-security邮件列表上重新披露了同一漏洞,因此预计扫描探测活动会有所增加。这一APISIX身份验证绕过漏洞已有明确的修复方案,因此当务之急是尽快完成补丁更新。

参考链接:

https://seclists.org/oss-sec/2026/q3/19


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈 sec随谈《Apache APISIX JWT身份验证绕过漏洞(CVE-2026-39999)》

评论:0   参与:  0