CVE-2025-1293

描述

Hermes improperly validates a JWT in github.com/hashicorp-forge/hermes

如何修補 CVE-2025-1293

要修補 CVE-2025-1293,請將受影響套件升級到下列已修補版本。

• Go/github.com/hashicorp-forge/hermes—升級至 0.5.0 或更新版本
• Go/github.com/hashicorp-forge/hermes—升級至 0.5.0 或更新版本

CVE-2025-1293 正在被利用嗎?

低 — EPSS 為 0.1%,目前沒有觀察到大規模利用活動。

受影響套件(2)

• from 0, < 0.5.0
• from 0, < 0.5.0

CVSS 分數

參考連結(5)

• ADVISORYgithub.com/advisories/GHSA-vxm9-8mfw-vc6g
• ADVISORYnvd.nist.gov/vuln/detail/CVE-2025-1293
• PATCHgithub.com/hashicorp-forge/hermes
• WEBdiscuss.hashicorp.com/t/hcsec-2025-03-hashicorp-hermes-improperly-validates-aws-alb-jwts-which-may-lead-to-authentication-bypass/73371