CVE-2025-62595 Koa.js开放重定向漏洞（绕过CVE-2025-8129）

漏洞信息

漏洞编号

CVE-2025-62595

漏洞类型

开放重定向（Open Redirect）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Koa.js

漏洞概述

Koa.js是由Express.js团队设计的下一代Node.js Web框架，使用ES2017 async函数实现表达力强大的中间件机制。CVE-2025-62595是Koa.js框架back redirect（返回重定向）功能中存在的一个安全漏洞，该漏洞是对此前CVE-2025-8129修复方案的绕过。

该漏洞影响Koa.js 2.16.2至2.16.3之前版本，以及3.0.1至3.0.3之前版本。攻击者可以通过精心构造Referer请求头，绕过框架对重定向URL的安全检查机制。在特定条件下，Koa.js的错误实现会将某些特殊构造的URL误判为安全的相对路径，从而导致用户的浏览器被重定向到外部的、可能具有恶意目的的网站。

成功利用此漏洞的攻击者可以实施钓鱼攻击、社会工程学攻击或其他基于重定向的攻击活动，对受影响应用程序的用户构成安全威胁。该漏洞已在3.0.3版本中修复，用户应尽快升级到该版本或更高版本以消除安全隐患。CVSS 3.1评分为4.3分，属于中等严重等级，虽然需要用户交互且不涉及认证，但仍然对Web应用的安全性构成实质性威胁。

技术细节

Koa.js框架提供了ctx.redirect('back')功能，该功能会读取HTTP请求头中的Referer字段，并将用户重定向回来源页面。然而，在CVE-2025-8129的修复中，开发团队对Referer URL进行了安全检查，试图阻止对外部域名的重定向。

CVE-2025-62595正是绕过了这一安全检查。漏洞的根本原因在于URL解析逻辑存在缺陷：当Referer头被设置为类似于`//evil.com/path`或`\\evil.com\path`这样的特殊格式时，Koa.js的URL验证逻辑会将其错误地识别为相对路径（protocol-relative URL），而不是绝对URL，从而绕过安全检查。

攻击者可以通过以下方式利用此漏洞：
1. 攻击者创建一个包含恶意链接的网页或钓鱼邮件，该链接指向目标Koa.js应用。
2. 受害者在浏览器中点击该链接，浏览器向目标应用发送请求，并在Referer头中携带攻击者控制的URL。
3. 目标Koa.js应用中的某个功能调用`ctx.redirect('back')`，将用户重定向到Referer头中指定的恶意URL。
4. 用户的浏览器被重定向到攻击者控制的钓鱼网站，可能被诱导输入敏感信息。

此漏洞利用的关键在于协议相对URL（protocol-relative URL）的处理。形如`//attacker.com`的URL在浏览器中会被解析为完整的绝对URL，但Koa.js的验证逻辑未能正确识别此类URL的外部性质，导致安全检查被绕过。

攻击链分析

STEP 1

步骤1：构建恶意入口

攻击者创建一个钓鱼页面或发送包含恶意链接的邮件/消息，该链接指向目标Koa.js应用程序的特定端点（如登录页面或返回重定向功能页面）。

STEP 2

步骤2：诱导用户点击

攻击者通过社会工程学手段诱导受害者点击恶意链接。受害者浏览器向目标Koa.js应用发起请求，并在Referer头中携带攻击者控制的URL（使用//evil.com格式绕过安全检查）。

STEP 3

步骤3：触发重定向逻辑

目标Koa.js应用中的代码执行ctx.redirect('back')，读取Referer头并尝试进行安全验证。

STEP 4

步骤4：绕过URL验证

Koa.js的URL验证逻辑错误地将形如'//attacker.com'的协议相对URL识别为安全的相对路径，未能阻止外部重定向。

STEP 5

步骤5：浏览器重定向

服务器返回302重定向响应，Location头为'//attacker.com'。浏览器将其解析为完整的绝对URL'https://attacker.com'，将用户重定向到攻击者控制的恶意网站。

STEP 6

步骤6：实施钓鱼或进一步攻击

受害者在攻击者控制的网站上被诱导输入敏感凭据、个人信息或下载恶意软件，完成攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2025-62595 - Koa.js Open Redirect via Referer Header
// This PoC demonstrates how to bypass the back redirect protection

const Koa = require('koa');
const app = new Koa();

// Vulnerable route that uses ctx.redirect('back')
app.use(async (ctx) => {
  if (ctx.path === '/login') {
    // After login attempt, redirect back to the referer
    ctx.redirect('back');
  } else {
    ctx.body = 'Click the link below to test:\n\n<a href="/login">Login (redirects back)</a>';
  }
});

app.listen(3000, () => {
  console.log('Vulnerable Koa.js server running on http://localhost:3000');
});

/*
 * Attack scenario:
 *
 * 1. Attacker creates a malicious page at https://attacker.com/phish
 * 2. The malicious page contains a link like:
 *    <a href="http://victim-koa-app.com/login">Click here for free gift!</a>
 *
 * 3. However, the attacker sets the Referer header to a malicious URL:
 *    Using protocol-relative URL bypass: Referer: //attacker.com/phish
 *
 * 4. When victim clicks the link, browser sends request with Referer header
 *    containing the attacker's URL
 *
 * 5. Koa.js processes ctx.redirect('back') and incorrectly treats
 *    "//attacker.com/phish" as a safe relative path
 *
 * 6. Browser interprets "//attacker.com/phish" as an absolute URL
 *    and redirects the victim to attacker's phishing page
 *
 * Exploit using curl:
 * curl -v -H "Referer: //attacker.com/phishing" http://victim-app.com/login
 *
 * Expected response: 302 Found with Location: //attacker.com/phishing
 * Browser will redirect to: https://attacker.com/phishing
 */

影响范围

Koa.js >= 2.16.2, < 2.16.3

Koa.js >= 3.0.1, < 3.0.3

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在使用ctx.redirect('back')的代码处添加自定义验证逻辑，检查Referer头是否为同源URL，拒绝以//或\\开头的协议相对URL；2）实现URL白名单，仅允许重定向到预定义的内部路径；3）使用URL.parse()或new URL()对Referer进行严格解析，确保目标主机与当前应用主机一致；4）监控应用日志中的异常重定向行为，及时发现潜在攻击。