一、 漏洞 CVE-2025-56266 基础信息
漏洞信息
# N/A
## 概述
在 Avigilon ACM v7.10.0.20 中存在 Host Header Injection 漏洞,攻击者可通过构造恶意 URL 实现任意代码执行。
## 影响版本
- Avigilon ACM **v7.10.0.20**
## 漏洞细节
攻击者可以操控 HTTP 请求中的 Host 头,注入恶意内容,进而触发服务器端的代码执行。
## 漏洞影响
未经授权的攻击者可利用该漏洞**远程执行任意代码**,对系统造成严重安全威胁。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞存在于Avigilon ACM v7.10.0.20的Web服务端,允许攻击者通过提供特制的URL来注入主机头,进而可能执行任意代码。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A Host Header Injection vulnerability in Avigilon ACM v7.10.0.20 allows attackers to execute arbitrary code via supplying a crafted URL.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Avigilon ACM 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Avigilon ACM是美国Avigilon公司的一个物理门禁系统。 Avigilon ACM v7.10.0.20版本存在安全漏洞,该漏洞源于主机头注入,可能导致执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-56266 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | A Host Header Injection vulnerability in Avigilon ACM v7.10.0.20 allows attackers to execute arbitrary code via supplying a crafted URL. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-56266.yaml | POC详情 |
三、漏洞 CVE-2025-56266 的情报信息
标题: CVEs/AvigilonACM_v7.10.0.20 at main · nikolas-ch/CVEs · GitHub -- 🔗来源链接
标签:
神龙速读:从这个网页截图中可以获取到以下关于漏洞的关键信息: - **项目名称**: CVEs - **版本**: AvigilonACM_v7.10.0.20 - **漏洞类型**: - CSV Injection - Host Header Injection - **最近更新**: - CSV_Injection.txt: 4天前更新 - HostHeaderInjection.txt: 4天前更新 - **其他文件和目录**: - AdformTracking_ReflectedXSS - BambooHR_v25.0210.170831-8... - LearnDash_v6.7.1 - N8N - Sentry_Version>=25.1.0 - AvigilonACM_Version.png (2个月前上传) 这些信息表明该项目包含了多个软件版本的漏洞描述和相关文件。
标题: CVEs/AvigilonACM_v7.10.0.20/HostHeaderInjection/HostHeaderInjection.txt at main · nikolas-ch/CVEs · GitHub -- 🔗来源链接
标签:
神龙速读:### 关键信息 #### 漏洞详情 - **CVE编号**: CVE-2025-56266 - **产品版本**: Vigilon ACM 7.10.0.20 - **漏洞类型**: Host Header Injection #### 描述 当应用程序使用HTTP Host头的值(由客户端提供)时,会发生Host Header注入漏洞。具体表现为: - 将Host头直接嵌入到服务器端代码逻辑中。 - 使用它来构建重定向、链接或绝对路径的URL。 恶意用户可以发送带有伪造Host头的请求,如 `Host: attacker.com`,导致应用程序信任并传播此头值,从而引发安全问题。 #### 影响 - **Web Cache Poisoning Caches**: 可能存储带有攻击者提供的Host头的响应。 - **Open Redirect**: 用户可能被重定向到攻击者控制的域。 - **Password Reset Poisoning**: 密码重置链接可能指向攻击者控制的服务器。 - **Bypass of Security Controls**: 如果逻辑依赖于Host头(如子域名限制),可能被绕过。 - **Phishing / Branding Attacks**: 攻击者可以伪造看起来来自可信域的链接或电子邮件。 #### 推荐措施 1. **验证Host头** - 在服务器上白名单允许的主机名,例如只允许 `yourapp.com` 和 `www.yourapp.com`。 - 拒绝带有意外Host头的请求。 2. **避免使用Host头生成URL** - 使用硬编码的应用程序基础URL来构建绝对URL。 3. **清理输出** - 不要将Host头直接反射回客户端,除非经过转义或验证。
标题: CVEs/AvigilonACM_v7.10.0.20/HostHeaderInjection at main · nikolas-ch/CVEs · GitHub -- 🔗来源链接
标签:
神龙速读:从这个网页截图中可以获取到以下关于漏洞的关键信息: - **项目名称**: CVEs - **具体漏洞目录**: AvigilonACM_v7.10.0.20/HostHeaderInjection - **相关文件**: - HostHeaderInjection.txt: 包含关于主机头注入的文本信息,最近更新时间为4天前。 - HostHeaderInjection1.png, HostHeaderInjection2.png, HostHeaderInjection3.png: 可能是与主机头注入相关的截图或示例图片,上传时间为2个月前。 - AvigilonACM_Version.png: 可能是Avigilon ACM版本的相关图片。 这些信息表明该项目关注的是Avigilon ACM v7.10.0.20版本中的主机头注入漏洞,并提供了相关的文档和截图以供参考。
- https://nvd.nist.gov/vuln/detail/CVE-2025-56266
四、漏洞 CVE-2025-56266 的评论
暂无评论