支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-22870 基础信息
漏洞信息
                                        # 通过 golang.org/x/net 中的 IPv6 区域 ID 绕过 HTTP 代理

## 漏洞概述
当主机与代理模式匹配时,IPv6区域ID会被错误地当作主机名的一部分处理。

## 影响版本
未提供具体影响版本信息。

## 漏洞细节
当`NO_PROXY`环境变量被设置为`*.example.com`时,对`[::1%25.example.com]:80`的请求将被误识别并认为属于`NO_PROXY`规则的范围,从而导致该请求不会被代理。

## 影响
该漏洞可能导致某些请求绕过代理,而这通常是为了安全或监控目的而配置的。关键在于IPv6区域ID被不当解析,导致安全策略失效。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞涉及Web服务端的代理模式匹配机制,当NO_PROXY环境变量设置为特定值时,某些IPv6地址的处理方式不正确,可能导致本应通过代理服务器的请求直接发送到目标服务器,存在安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
HTTP Proxy bypass using IPv6 Zone IDs in golang.org/x/net
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Matching of hosts against proxy patterns can improperly treat an IPv6 zone ID as a hostname component. For example, when the NO_PROXY environment variable is set to "*.example.com", a request to "[::1%25.example.com]:80` will incorrectly match and not be proxied.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Google Go 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Google Go是美国谷歌(Google)公司的一种静态强类型、编译型、并发型,并具有垃圾回收功能的编程语言。 Google Go存在安全漏洞,该漏洞源于IPv6区域ID被错误地视为主机名的一部分,可能导致代理匹配错误。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-22870 的公开POC
#POC 描述源链接神龙链接
1PoC CVE-2025-22870 (SSRF)https://github.com/JoshuaProvoste/CVE-2025-22870POC详情
2CVE-2025-22870https://github.com/B1ack4sh/Blackash-CVE-2025-22870POC详情
3CVE-2025-22870https://github.com/Ashwesker/Blackash-CVE-2025-22870POC详情
4CVE-2025-22870https://github.com/Ashwesker/Ashwesker-CVE-2025-22870POC详情
三、漏洞 CVE-2025-22870 的情报信息
四、漏洞 CVE-2025-22870 的评论
匿名用户
2026-01-15 06:09:01

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论