Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - jsonwebtoken 是 rust 中的 JWT lib。在低于版本 10.3.0的版本中在 jsonwebtoken 中尤其是在其声明验证逻辑中存在类型混淆漏洞。为标准声明如 nbf 或 exp提供错误的 JSON 类型如字符串而不是数字时库的内部解析机制会将该声明标记为 FailedToParse。至关重要的是，验证逻辑会将此 FailedToParse 状态视为与 NotPresent 相同。这意味着如果启用了检查如 validate_nbf = true但未在 required_spec_claims 中将声明明确标记为必需则库将完全跳过该畸形声明的验证检查将其视为不存在。这允许攻击者绕过基于时间的关键安全限制如“非早于”检查并实施潜在的身份验证和授权绕过。已在版本 10.3.0 中修补此问题。
    (CVE-2026-25537)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-25537

medium Nessus 插件 ID 298172

版本 1.2