| タイトル | rachelos WeRSS WeRSS<=1.4.8 Weak Authentication |
|---|
| 説明 | WeRSS(https://github.com/rachelos/we-mp-rss/) uses hardcoded weak default JWT secret keys, and the default key in the configuration file is also predictable (project name). Attackers can use these default keys to forge valid administrator tokens, completely bypassing authentication
detail:https://www.notion.so/WeRSS-Weak-JWT-Key-Leading-to-Authentication-Bypass-2feea92a3c41803faadae58327facd7b |
|---|
| ソース | ⚠️ https://www.notion.so/WeRSS-Weak-JWT-Key-Leading-to-Authentication-Bypass-2feea92a3c41803faadae58327facd7b |
|---|
| ユーザー | din4 (UID 50867) |
|---|
| 送信 | 2026年02月05日 08:57 (3 月 ago) |
|---|
| モデレーション | 2026年02月08日 09:30 (3 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 344932 [rachelos WeRSS we-mp-rss 迄 1.4.8 JWT core/auth.py SECRET_KEY 情報漏えい] |
|---|
| ポイント | 16 |
|---|