一、 漏洞 CVE-2025-1680 基础信息
漏洞信息
                                        # N/A

## 概述

在 Moxa 的以太网交换机中发现了一个**将非可信数据与可信数据混合使用**的漏洞,攻击者可利用此漏洞进行 HTTP Host 头注入攻击。

## 影响版本

未明确列出具体受影响版本,需参考厂商公告或产品说明确认具体机型与固件版本。

## 细节

攻击者在具备**管理员权限**的前提下,可通过向受影响设备的 Web 服务发送包含**恶意构造的 Host 头字段**的 HTTP 请求,实现 Host 头注入攻击。该漏洞可被用于:

- 用户重定向
- 链接伪造
- 网络钓鱼攻击(phishing)

## 影响

此漏洞**不会影响**受影响设备的机密性、完整性和可用性,也不会导致后续系统的数据或服务受损。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An acceptance of extraneous untrusted data with trusted data vulnerability has been identified in Moxa’s Ethernet switches, which allows attackers with administrative privileges to manipulate HTTP Host headers by injecting a specially crafted Host header into HTTP requests sent to an affected device’s web service. This vulnerability is classified as Host Header Injection, where invalid Host headers can manipulate to redirect users, forge links, or phishing attacks. There is no impact to the confidentiality, integrity, and availability of the affected device; no loss of confidentiality, integrity, and availability within any subsequent systems.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在可信数据中接受外来的不可信数据
来源:美国国家漏洞数据库 NVD
漏洞标题
Moxa Ethernet switches 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Moxa Ethernet switches是中国台湾Moxa公司的一款工业级网络交换机。 Moxa Ethernet switches存在安全漏洞,该漏洞源于HTTP Host标头注入,可能导致重定向用户、伪造链接或钓鱼。以下产品受到影响:TN-4500A Series、TN-5500A Series、TN-G4500 Series、TN-G6500 Series。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-1680 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-1680 的情报信息
四、漏洞 CVE-2025-1680 的评论

暂无评论

发表评论