一、 漏洞 CVE-2025-4673 基础信息
漏洞信息
# 跨源重定向中未清除敏感报头"net/http"
## 概述
Proxy-Authorization 和 Proxy-Authenticate 头信息在跨域重定向中可能被保留,导致泄露敏感信息。
## 影响版本
无具体版本信息提供
## 细节
在跨域重定向请求中,即便目标服务器不是经过认证的代理服务器,Proxy-Authorization 和 Proxy-Authenticate 头仍然可能会被保留。这可能导致原本用于受信任代理的敏感认证信息(例如凭据)被泄露给不受信任的第三方。
## 影响
敏感认证信息(包括但不限于用户名和密码)可能会被泄露给恶意第三方,从而可能导致未经授权的访问。这对于需要通过代理服务器进行网络请求的应用程序构成了安全威胁。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Sensitive headers not cleared on cross-origin redirect in net/http
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Proxy-Authorization and Proxy-Authenticate headers persisted on cross-origin redirects potentially leaking sensitive information.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Google Go 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Google Go是美国谷歌(Google)公司的一种静态强类型、编译型、并发型,并具有垃圾回收功能的编程语言。 Google Go存在安全漏洞,该漏洞源于Proxy-Authorization和Proxy-Authenticate标头持久化,可能导致敏感信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-4673 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-4673 的情报信息
-
标题: net/http: strip sensitive proxy headers from redirect requests (679257) · Gerrit Code Review -- 🔗来源链接
标签:
神龙速读
-
标题: net/http: sensitive headers not cleared on cross-origin redirect CVE-2025-4673 · Issue #73816 · golang/go -- 🔗来源链接
标签:
神龙速读
-
![[security] Go 1.24.4 and Go 1.23.10 are released](https://cvepdf.imfht.com:2443//ti_screenshot/2025-06-13/screenshot-full-2025-06-13T16-35-15.151Z-88bd9d924110a6b9ccde.webp)
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-4673