漏洞概述 漏洞编号: #25949 漏洞描述: 在 项目中, 的匹配逻辑存在问题,导致某些恶意 URL 能够绕过过滤规则。具体来说, 函数使用了 方法进行匹配,但该方法仅检查 URL 的结尾部分,未能正确识别主机名边界,从而允许攻击者构造恶意 URL 绕过过滤。 影响范围 受影响组件: 项目中的 和 文件。 具体影响: - 恶意 URL 如 和 能够成功匹配并绕过过滤规则。 - 该漏洞可能导致未授权访问或数据泄露等安全风险。 修复方案 修复内容: - 修改 函数,使其在匹配主机名时使用更严格的边界检查,确保只匹配完整的主机名而非 URL 后缀。 - 具体修改如下: - 同时,确保 配置项在关闭时,不会阻止对特定公共主机的访问。 POC 代码 POC 代码: 其他信息 贡献者协议: 提交此 PR 即表示同意贡献者许可协议(CLA)。 审查状态: 该 PR 已被合并,修复已生效。