CVE-2025-12543 — 神龙十问 AI 深度分析摘要
CVSS 9.6 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Host 标头未正确验证。 💥 **后果**:缓存投毒、内网扫描、会话劫持。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-20(输入验证不当)。 📍 **缺陷**:对 HTTP Host 头缺乏严格校验。
Q3影响谁?(版本/组件)
🏢 **厂商**:Red Hat。 📦 **组件**:Red Hat build of Apache Camel 4.14.4 (Spring Boot 3.5.11)。
Q4黑客能干啥?(权限/数据)
🕵️ **攻击者**:可劫持会话、探测内部网络。 📊 **数据**:可能导致敏感数据泄露或缓存污染。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛**:低。 🔑 **条件**:无需认证 (PR:N),但需用户交互 (UI:R)。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查请求中的 Host 头。 🛠 **工具**:扫描 Undertow 组件版本。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:已发布 RHSA advisories。 📅 **日期**:2026-01-07 公布。
Q9没补丁咋办?(临时规避)
⚠️ **缓解**:配置 WAF 过滤异常 Host 头。 🚫 **限制**:严格校验入站请求的 Host 字段。
Q10急不急?(优先级建议)
🔥 **优先级**:高。 📈 **CVSS**:8.1 (H/C:H, I:H)。建议尽快升级。