Description
A vulnerability was determined in linlinjava litemall up to 1.8.0. Affected by this issue is some unknown functionality of the file litemall-wx-api/src/main/java/org/linlinjava/litemall/wx/util/JwtHelper.java of the component JSON Web Token Handler. The manipulation of the argument SECRET with the input X-Litemall-Token leads to hard-coded credentials. The attack may be launched remotely. The complexity of an attack is rather high. The exploitation is known to be difficult. The exploit has been disclosed to the public and may be used.
Davon betroffen ist unbekannter Code der Datei litemall-wx-api/src/main/java/org/linlinjava/litemall/wx/util/JwtHelper.java der Komponente JSON Web Token Handler. Mit der Manipulation des Arguments SECRET mit der Eingabe X-Litemall-Token mit unbekannten Daten kann eine hard-coded credentials-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk erfolgen. Die Komplexität eines Angriffs ist eher hoch. Sie ist schwierig ausnutzbar. Der Exploit steht zur öffentlichen Verfügung.
Problem types
Product status
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8.0
Timeline
| 2025-08-13: | Advisory disclosed |
| 2025-08-13: | VulDB entry created |
| 2025-08-13: | VulDB entry last update |
Credits
ez-lbz (VulDB User)
References
vuldb.com/?id.319970 (VDB-319970 | linlinjava litemall JSON Web Token JwtHelper.java hard-coded credentials)
vuldb.com/?ctiid.319970 (VDB-319970 | CTI Indicators (IOB, IOC, TTP, IOA))
vuldb.com/?submit.628233 (Submit #628233 | linlinjava litemall ≤ v1.8.0 Hardcoded JWT Secret(CWE-798))
github.com/linlinjava/litemall/issues/568
github.com/linlinjava/litemall/issues/568
