关键信息摘要 漏洞标题: Header smuggling via underscore leading to potential privilege escalation 严重性: High CVE ID: CVE-2025-64484 受影响版本: <=7.12.0 修复版本: 7.13.0 漏洞描述: - 影响: - OAuth2 Proxy部署在将下划线规范化为破折号的HTTP标题中的应用之前(例如,基于WSGI的框架,如Django、Flask、FastAPI和PHP应用)。 - 认证用户可以通过注入下划线变体的X-Forwarded-头部旁路代理的过滤逻辑,导致上游应用中的特权升级。OAuth2 Proxy自身的验证/授权并未被攻破。 - 补丁: - 此更改缓解了一个Header Smuggling漏洞,攻击者可以通过使用不同的大写或替换下划线旁路标题剥离请求头。 - 默认所有指定的头部将被规范化,这意味着大写和下划线和破折号在匹配要移除的头时将被忽略。例如,X-Forwarded-For和X_Forwarded-for将被视为等效并被移除。 - 但是,如果你有合理的理由需要保留类似的标题并且不想移除它,我们引入了一个新的配置字段,用于通过AlphaConfig管理的头部,称为InsecureSkipHeaderNormalization。 绕过: - 确保上游服务中的过滤和处理逻辑不以相同方式对待下划线和连字符。 参考资料**: - https://github.security.telekom.com/2020/05/smuggling-http-headers-through-reverse-proxies.html - https://www.uptimia.com/questions/why-are-http-headers-with-underscores-dropped-by-nginx - https://datatracker.ietf.org/doc/html/rfc2616#section-4.2 - https://datatracker.ietf.org/doc/html/rfc822#section-3.2