security vulnerability (存在安全漏洞)

[poq79]

The hard-coded JWT Secret in the source code allows remote attackers to gain administrator access in AgileConfig Server. Details and POC have been emailed. 源代码中存在JWT key 硬编码，导致原有的登录限制可能被绕过，直接以管理员权限访问系统 详细信息和POC已发送至邮箱

[kklldog]

感谢指出。jwt相关的配置其实都可以使用环境变量来替换，但是估计确实大部分人不会去主动更换，后面的版本我打算在启动的时候生成一个jwt key 来规避这个问题。

[kklldog]

v-1.6.8 已修复该问题

[JavaScript-zt]

你好，agileConfig.Client 最新版本才1.6.2.2 ，怎么升级到1.6.8，这会导致nuget 里面 这个包前面一直带有黄色感叹号

[kklldog]

你好，agileConfig.Client 最新版本才1.6.2.2 ，怎么升级到1.6.8，这会导致nuget 里面 这个包前面一直带有黄色感叹号

其实这个漏洞跟client没关系，client根本走的不是jwt认证。但是GitHub的策略好像觉得这个client也要更新。你就用最新的1622好了没关系的。我有空修改个版本号消除这个感叹号。