关键信息 漏洞概述 CVE编号: CVE-2025-50579 漏洞类型: Token Theft Vulnerability in Nginx Proxy Manager v2.12.3 Leads to ATO via CORS Misconfiguration 44509 影响: - 未经授权访问应用程序 - 跨站请求伪造(CSRF) - 访问敏感数据 - 注入恶意代码 影响范围 受影响版本: Nginx Proxy Manager v2.12.3 复现步骤 1. 使用Burp Suite拦截并修改HTTP请求。 2. 上传JavaScript文件到服务器,通过浏览器访问以触发漏洞。 技术细节 CORS配置错误: 允许所有来源的跨域请求,导致攻击者可以利用此漏洞进行跨站请求伪造和令牌窃取。 示例代码: 缓解措施 更新Nginx Proxy Manager到最新版本。 审查和修复CORS配置,限制允许的来源。 实施严格的输入验证和输出编码。