一、 漏洞 CVE-2025-46814 基础信息
漏洞信息
# 通过操纵 X-Forwarded-For 实现 FastAPI Guard 远程头部注入

## 漏洞概述
FastAPI Guard 在版本 2.0.0 之前的版本中存在 HTTP 头注入漏洞。攻击者通过操纵 X-Forwarded-For 头,可以注入任意 IP 地址,从而绕过基于 IP 的访问控制、误导日志系统并冒充可信客户端。

## 影响版本
- 2.0.0 之前的版本

## 漏洞细节
攻击者可以操控 X-Forwarded-For 头注入任意 IP 地址。当应用程序依赖 X-Forwarded-For 头进行基于 IP 的授权或认证时,这个漏洞尤其具有破坏性。

## 漏洞影响
- 绕过基于 IP 的访问控制
- 误导日志系统
- 冒充可信客户端

## 修复建议
用户应升级到 FastAPI Guard 版本 2.0.0 以获取修复。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
FastAPI Guard Remote Header Injection via X-Forwarded-For Manipulation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
FastAPI Guard is a security library for FastAPI that provides middleware to control IPs, log requests, and detect penetration attempts. An HTTP header injection vulnerability has been identified in versions prior to 2.0.0. By manipulating the X-Forwarded-For header, an attacker can potentially inject arbitrary IP addresses into the request. This vulnerability can allow attackers to bypass IP-based access controls, mislead logging systems, and impersonate trusted clients. It is especially impactful when the application relies on the X-Forwarded-For header for IP-based authorization or authentication. Users should upgrade to FastAPI Guard version 2.0.0 to receive a fix.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-46814 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-46814 的情报信息