文章总结: ApacheAPISIX3.16.0版本的jwt-auth插件存在JWT算法混淆漏洞(CVE-2026-39999),CVSS评分9.1。攻击者可利用公钥伪造令牌绕过身份验证,可能暴露后端服务。建议升级至3.16.1或更高版本,并审查访问日志排查异常令牌。 综合评分: 90 文章分类: 漏洞分析,安全建设,应用安全,网络安全,解决方案
Apache APISIX JWT身份验证绕过漏洞(CVE-2026-39999)
sec随谈 sec随谈
sec随谈
2026年7月9日 08:33 北京
在小说阅读器读本章
去阅读
摘要
Apache APISIX 3.16.0版本的jwt-auth插件中存在一个JWT算法混淆漏洞。该漏洞被追踪为CVE-2026-39999,未经身份验证的攻击者可借此伪造令牌并绕过身份验证。Apache已在APISIX 3.16.1版本中修复了该问题。
为何重要
APISIX是一款广泛使用的API网关,因此一次APISIX身份验证绕过攻击可能暴露其背后的所有服务。该漏洞CVSS评分为9.1,属于严重级别。攻击者无需任何凭据,仅需获取消费者的公钥即可,而该公钥本身就是被设计为公开的。
其危害还可能进一步扩大。如果被冒充的用户拥有管理员权限范围,攻击者甚至可能进一步访问APISIX管理API。这一结果取决于具体的网络规则和管理员访问权限设置。
攻击原理
该问题属于典型的JWT算法混淆漏洞。APISIX根据消费者配置的算法来选取验证密钥,但却根据令牌请求头中的alg字段来选取验证函数,而该字段是攻击者可控的。
以配置为RS256的消费者为例,此时APISIX会将公钥交给验证器使用。攻击者随后可将请求头设置为HS256,并使用该公钥作为HMAC密钥对令牌进行签名。结果,验证得以通过,攻击者便能以任意用户身份完成认证。研究人员已演示了该绕过手法,但目前尚未确认存在在野利用活动。
受影响版本
Apache官方列出3.16.0及之前的所有版本均受影响。非对称密钥验证路径是通过3.16.0版本中新增的解析器模块引入的,这也扩大了漏洞的暴露面。只有配置为RS256、ES256或PS256的消费者才面临此风险。
这并非运维人员的操作失误。RS256配置本就存在于官方架构定义、文档说明和测试用例中,因此受影响的部署方式实际上是遵循了官方支持的指导做法。此外,管理员此前也没有选项可以强制指定允许使用的验证算法。
补丁与缓解措施
请升级至APISIX 3.16.1或更高版本,该补丁强制执行配置的算法要求。修复方案增加了一项交叉校验机制,用于比对令牌中的alg字段与消费者的配置设置,一旦发现不匹配即拒绝该令牌。更新的3.17.0版本还捆绑了其他安全修复。在完成补丁更新之前,建议将受JWT保护的路由访问限制在可信网络范围内。
同时,建议审查访问日志,排查针对配置为RS256的消费者却使用HS256算法的令牌,因为这种不匹配的情况往往意味着存在攻击尝试。今年6月底,一名研究人员在oss-security邮件列表上重新披露了同一漏洞,因此预计扫描探测活动会有所增加。这一APISIX身份验证绕过漏洞已有明确的修复方案,因此当务之急是尽快完成补丁更新。
参考链接:
https://seclists.org/oss-sec/2026/q3/19
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《Apache APISIX JWT身份验证绕过漏洞(CVE-2026-39999)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论