绕过dgrijalva/jwt-go cve-2020-26160漏洞的方法

你在学习Golang相关的知识吗？本文《绕过dgrijalva/jwt-go cve-2020-26160漏洞的方法》，主要介绍的内容就涉及到，如果你想提升自己的开发能力，就不要错过这篇文章，大家要知道编程理论基础和实战操作都是不可或缺的哦！

由于存在一个高级漏洞，容器安全状态未在 Gitlab 管道中传递。该漏洞为jwt-go，安装版本为v3.2.0+incomplete。错误标题如下：jwt-go：访问限制绕过漏洞-->avd.aquasec.com/nvd/cve-2020-26160。相关存储库的 Go 版本是 1.16.3。如何修复此漏洞？

正确答案

CVE-2020-26160 漏洞是由于 dgrijalva/jwt-go 错误地将 JWT aud 字段建模为 string，当基于 JWT specs 时，它应该是字符串切片。

一般情况下，“aud”值是一个区分大小写的字符串数组

你自己无法绕过它，因为这是库中的一个错误：https://github.com/dgrijalva/jwt-go/issues/428

切换到official社区fork golang-jwt/jwt，其v3.2.1修复漏洞：https://github.com/golang-jwt/jwt/releases/tag/v3.2.1

• 导入路径更改：请参阅 MIGRATION_GUIDE.md 了解有关更新代码的提示 将导入路径从 github.com/dgrijalva/jwt-go 更改为 github.com/golang-jwt/jwt
• 修复了VerifyAudience中字符串和[]字符串之间的类型混淆问题（#12）。 这修复了 CVE-2020-26160

github.com/dgrijalva/jwt-go 25天前解决了这个漏洞，您使用的版本（v3.2.0）是2018年的，更新到使用该库的最新版本应该可以解决所有jwt安全问题 p>

今天关于《绕过dgrijalva/jwt-go cve-2020-26160漏洞的方法》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！