CVE-2025-54576 — 神龙十问 AI 深度分析摘要

🚨 **本质**：OAuth2-Proxy 的 `skip_auth_routes` 配置存在正则表达式绕过漏洞。 💥 **后果**：攻击者可**绕过身份验证**，直接访问受保护资源。

🔍 **CWE**：CWE-290 (认证绕过)。 🐛 **缺陷点**：正则表达式匹配逻辑不严谨，导致特定路径未被正确拦截。

📦 **厂商**：oauth2-proxy。 📌 **版本**：**7.10.0 及之前版本**均受影响。

🔓 **权限**：无需认证即可访问。 📊 **数据**：可能导致敏感数据泄露（CVSS 评分中 C:H, I:H）。

🚪 **门槛**：**低**。 📝 **条件**：利用 CVSS 向量显示为 **AV:N/AC:L/PR:N/UI:N**，即网络可达、无需权限、无需用户交互。

🧪 **PoC**：漏洞数据中 `pocs` 字段为空，暂无公开现成 Exp。 🌍 **在野**：暂无在野利用报告。

🔎 **自查**：检查配置文件中 `skip_auth_routes` 的正则表达式写法。 🛠 **工具**：扫描是否存在该配置项且版本 <= 7.10.0。

✅ **已修复**：官方已发布补丁。 📢 **版本**：升级至 **v7.11.0** 或更高版本。

🛡️ **临时规避**：若无法升级，需**严格审查** `skip_auth_routes` 的正则表达式，确保无逻辑漏洞，或暂时移除该配置。

⚡ **优先级**：**高**。 💡 **建议**：CVSS 评分高（C:H/I:H），且为认证绕过类漏洞，建议**立即升级**至 v7.11.0+。