CVE-2025-64481:Datasette开放重定向端点漏洞
漏洞详情
受影响包:pip datasette
受影响版本:
- < 0.65.2
-
= 1.0a0, < 1.0a20
已修复版本:
- 0.65.2
- 1.0a21
漏洞描述
影响
在0.65.2和1.0a21版本之前部署的Datasette实例存在开放重定向漏洞。访问路径//example.com/foo/bar/(需要尾部斜杠)会将用户重定向到https://example.com/foo/bar。
修复补丁
该问题已在Datasette 0.65.2和1.0a21版本中得到修复。
临时解决方案
如果在代理后面运行Datasette,可以配置该代理将传入请求URL中的//替换为/。
参考信息
- GHSA-w832-gg5g-x44m
- simonw/datasette#2429
- simonw/datasette@f257ca6
- https://nvd.nist.gov/vuln/detail/CVE-2025-64481
安全评分
严重程度:低
CVSS总体评分:0.0/10
CVSS v3基础指标:
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:未改变
- 机密性:无影响
- 完整性:无影响
- 可用性:无影响
EPSS评分:0.028%(第7百分位)
弱点分类
弱点:CWE-601
描述:URL重定向到不受信任的站点(‘开放重定向’)
- Web应用程序接受用户控制的输入,该输入指定指向外部站点的链接,并在重定向中使用该链接。这简化了网络钓鱼攻击。