Ash Authentication令牌撤销逻辑漏洞分析

news/2025/11/11 11:04:26/文章来源:https://www.cnblogs.com/qife122/p/19209426

CVE-2025-25202：Ash Authentication令牌撤销检查逻辑漏洞

漏洞概述

Ash Authentication库在通过mix ash_authentication.install生成的action中存在有缺陷的令牌撤销检查逻辑。该漏洞会导致已撤销的令牌在过期前仍可被验证为有效。

影响范围

受影响版本：>= 4.1.0, < 4.4.9
修复版本：4.4.9

仅影响使用新版igniter安装程序（自AshAuthentication v4.1.0起）引导的应用程序，且使用了以下功能：

魔术链接策略
密码重置功能
确认附加组件
手动撤销令牌

影响分析

对于不同用户群体的具体影响：

魔术链接策略用户：魔术链接令牌在过期前可重复使用（默认有效期为10分钟）
密码策略中的密码重置用户：密码重置令牌在过期前可重复使用（默认有效期为3天）
确认附加组件用户：确认令牌在过期前可重复使用（默认有效期为3天）

修复方案

官方补丁

该漏洞已在版本4.4.9中修复，升级时会显示编译时警告并提供修复说明。

自动升级：

mix igniter.upgrade ash_authentication

手动升级：

mix ash_authentication.upgrade 4.4.8 4.4.9

代码修复要求

需要修改:revoked? action：

:jti和:token参数必须允许nil值
action必须返回:boolean类型

修复示例：

action :revoked?, :boolean dodescription "Returns true if a revocation token is found for the provided token"argument :token, :string, sensitive?: trueargument :jti, :string, sensitive?: truerun AshAuthentication.TokenResource.IsRevoked
end

临时解决方案

删除生成的:revoked?通用action：这将使其使用AshAuthentication内部始终正确的实现
手动应用上述代码更改

安全评分

CVSS评分：6.3（中危）
EPSS评分：0.066%（20百分位）

参考信息

GitHub Advisory：GHSA-qrm9-f75w-hg4c
修复提交：team-alembic/ash_authentication@2dee552
NVD详情：https://nvd.nist.gov/vuln/detail/CVE-2025-25202
讨论渠道：Ash Discord的#ash_authentication频道
更多精彩内容请关注我的个人公众号公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/962167.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

jenkins修改root账号执行

环境: OS:Centos 7 jenkins:2.479 安装jenkins默认是使用jenkins账号启动的，若pipeline中执行shell python等各种脚本，会提示权限不足的情况，下面修改jenkins使用root的方式启动 1.停掉jenkinssystemctl stop jenki…