PyJWT 2.9.0 库曝出高危漏洞 (CVE-2025-XXXXX)，影响 Litellm 等 Python 项目

一个影响广泛使用的 Python JSON Web Token 库 PyJWT 版本 2.9.0 的高危安全漏洞已被发现。该漏洞的严重性评分为 7.5（高危），可能使依赖该库的应用程序面临安全风险。漏洞详情已通过自动化安全扫描在 GitHub 仓库 `snowdensb/litellm` 的依赖文件中被识别，具体路径指向了缓存的 PyJWT-2.9.0-py3-none-any.whl 文件。

该漏洞直接影响 Litellm 项目，其构建环境中的依赖文件 `requirements.txt` 引用了存在缺陷的库版本。扫描报告明确指出，易受攻击的库文件位于项目的 Python 虚拟环境路径下。这表明任何使用相同版本 PyJWT 作为依赖的 Python 应用程序都可能暴露在此风险之下。PyJWT 是 Python 生态中处理 JWT（JSON Web Tokens）认证和授权的核心库之一，其安全性问题可能波及大量网络应用和服务。

目前，漏洞的具体利用向量和完整技术细节尚未公开披露，但 7.5 的 CVSS 评分表明其具有较高的潜在影响。开发者和安全团队需要立即检查其项目依赖，确认是否使用了 PyJWT 2.9.0 版本，并密切关注官方补丁或升级指南。对于 Litellm 及其他受影响项目的维护者而言，这构成了迫切的供应链安全更新压力。在官方修复发布前，项目可能面临因依赖项漏洞而引入的潜在攻击面扩大风险。