漏洞概述
在apis.google.com的additnow功能中发现了一个CWE-601(开放重定向)漏洞。该漏洞自2025年9月15日起已被用于针对性的网络钓鱼攻击。
受影响主机
- apis.google.com
概念验证(PoC)
- https://apis.google.com/additnow/l?applicationId=1&__ls=ogb&__lu=URL_HERE (参数"__lu=“控制重定向目标)
影响范围
开放重定向允许攻击者在受影响域名上构造重定向到任意外部网站的URL。影响场景包括:
- 网络钓鱼:攻击者可发送看似来自google.com但重定向到恶意网站的链接
- 通过利用高信誉域名绕过垃圾邮件/URL过滤器
- SEO/社交环境中的链接操纵
严重程度
中等(已确认在野利用)
技术说明
- 根本原因:对”__lu"参数中用户提供的重定向目标验证不足
- 重定向是立即的(无需进一步交互)
武器化演示(安全点击)
- https://apis.google.com/additnow/l?applicationId=1&__ls=ogb&__lu=%68%74%74%70%73%3A%2F%2F%73%69%76%65%72%74%2E%70%6C (此链接重定向到https://sivert.pl)
时间线
- 发现:2025-09-15(至少从该日期起被未知威胁行为者利用)
- 公开披露:2025-10-16(本文)
联系方式
- 姓名:Patrick (SivertPL)
- 邮箱:kroppoloe () protonmail ch
- 网站:https://sivert.pl
- X:@__tfr
给供应商的信息
这并非Google服务中的CWE-601问题首次被威胁行为者滥用。请优先考虑修复以防止进一步利用。
致谢
- 向Google喊话 - 修复你们的开放重定向问题!
– 2025-10-16 SivertPL (kroppoloe () protonmail ch) –