【低危漏洞】CVE-2025-52661:HCL AION JWT Token 过期时间过长漏洞
漏洞概述
HCL AION version 2 存在一个 JWT(JSON Web Token)令牌有效期过长的安全问题。该漏洞可能导致令牌在被泄露后被恶意利用,从而造成未授权访问的风险。
漏洞详情
- CVE 编号:CVE-2025-52661
- 漏洞类型:JWT Token Expiry Too Long(CWE-613:会话令牌未及时失效)
- CVSS 评分:2.4(LOW)
向量:CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N - 影响版本:HCL AION version 2
影响范围
该漏洞影响 HCL AION version 2 的所有部署实例。若系统使用了默认或过长的 JWT 令牌有效期配置,则可能受到此问题影响。
风险分析
由于 JWT 令牌的有效期设置过长,在令牌被窃取或泄露的情况下,攻击者可在较长时间内冒用合法用户身份进行操作。虽然该漏洞需要高权限账户(PR:H)和用户交互(UI:R)才能被利用,且仅对完整性造成低影响(I:L),但仍存在潜在的未授权访问风险,尤其在敏感业务场景中需引起重视。
修复建议
- 建议升级至 HCL 官方发布的安全版本,或根据厂商指导调整 JWT 令牌的有效期策略。
- 如暂无法升级,可临时通过缩短 JWT 令牌的过期时间、启用令牌刷新机制及加强令牌存储安全等方式缓解风险。
