CVE-2025-35940
Hard-coded ArchiverSpaApi JWT Signing Key
En resumen
ArchiverSpaApi usa una clave fija para firmar tokens de autenticación que cualquiera puede descubrir. Un atacante puede crear tokens falsos para acceder a funciones protegidas sin tener una cuenta real.
Detalle técnico
La aplicación emplea una clave JWT hard-coded para la firma de tokens, permitiendo que un atacante remoto no autenticado forje tokens JWT válidos y acceda a endpoints protegidos. La vulnerabilidad resulta de la gestión inadecuada de claves (CWE-798); el impacto incluye acceso no autorizado a datos y posible escalación de privilegios.
Resumen generado y traducido por IA a partir de la descripción oficial.
The ArchiverSpaApi ASP.NET application uses a hard-coded JWT signing key. An unauthenticated remote attacker can generate and use a verifiable JWT token to access protected ArchiverSpaApi URL endpoints.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
GFI · Archiver¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →