概述

CVE-2025-64484

OAuth2-Proxy存在通过下划线进行头走私的漏洞，可能导致权限提升

漏洞详情

描述

OAuth2-Proxy是一款开源工具，可作为独立反向代理或中间件组件集成到现有反向代理或负载均衡器设置中。在7.13.0之前的版本中，所有部署在会将HTTP头中的下划线规范化为连字符的应用程序前面的OAuth2 Proxy（例如基于WSGI的框架，如Django、Flask、FastAPI和PHP应用程序）都存在此漏洞。经过身份验证的用户可以注入X-Forwarded-*头的下划线变体，绕过代理的过滤逻辑，可能在上游应用中提升权限。OAuth2 Proxy本身的身份验证/授权并未受到损害。

该问题已在v7.13.0中修复。默认情况下，所有指定的头现在都将被规范化，这意味着在匹配要剥离的头时，将忽略大小写以及下划线(_)与连字符(-)的使用。例如，X-Forwarded-For和X_Forwarded-for现在将被视为等效并被剥离。对于那些有合理需求需要保留类似外观头而不剥离的用户，维护者通过AlphaConfig引入了一个新的配置字段InsecureSkipHeaderNormalization。作为临时解决方案，请确保上游服务中的过滤和处理逻辑不以相同方式处理头中的下划线和连字符。

基本信息

• 发布日期：2025年11月10日 22:15
• 最后修改：2025年11月10日 22:15
• 远程利用：是
• 信息来源：security-advisories@github.com

受影响产品

以下产品受到CVE-2025-64484漏洞影响：

总计受影响供应商：1 | 产品：1

CVSS评分

通用漏洞评分系统是评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自各种来源的CVSS分数。

解决方案

• 将OAuth2 Proxy更新到v7.13.0或更高版本以修复头规范化问题
• 将OAuth2 Proxy更新到版本7.13.0或更高版本
• 如有需要，审查并调整上游过滤逻辑
• 如果头规范化有问题，考虑使用’InsecureSkipHeaderNormalization'

参考资源

以下是与CVE-2025-64484相关的深度信息、实用解决方案和有价值工具的外部链接：

• https://datatracker.ietf.org/doc/html/rfc2616#section-4.2
• https://datatracker.ietf.org/doc/html/rfc822#section-3.2
• https://github.com/oauth2-proxy/oauth2-proxy/security/advisories/GHSA-vjrc-mh2v-45x6
• https://github.security.telekom.com/2020/05/smuggling-http-headers-through-reverse-proxies.html
• https://www.uptimia.com/questions/why-are-http-headers-with-underscores-dropped-by-nginx

CWE - 通用弱点枚举

CVE-2025-64484与以下CWE相关联：

CWE-644：HTTP头脚本语法的不恰当中和

漏洞历史记录

漏洞历史记录详细信息可用于了解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

新CVE接收

• 来源：security-advisories@github.com
• 日期：2025年11月10日