一、 漏洞 CVE-2025-62428 基础信息
漏洞信息
                                        # Drawing-Captcha APP 主机头注入漏洞

## 概述

Drawing-Captcha APP 是一个为 Web 应用程序提供互动式、引人入胜的验证码功能的工具。该应用程序存在 Host 请求头注入漏洞,影响 `/register` 和 `/confirm-email` 接口。

## 影响版本

所有在 1.2.5-alpha-patch 版本**之前**依赖邮件确认机制进行注册或身份验证的版本均受影响。

## 细节

攻击者可通过操控 HTTP 请求中的 `Host` 请求头,在用户注册或确认邮件时生成包含恶意域名的确认链接。该漏洞使生成的链接指向攻击者控制的外部域。

## 影响

用户点击确认链接时可能被重定向至恶意网站,造成**钓鱼攻击**或**会话劫持**等安全事件。此漏洞直接影响账户注册和邮件验证流程的安全性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Drawing-Captcha APP Host Header Injection in `/register` and `/confirm-email` Endpoints
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Drawing-Captcha APP provides interactive, engaging verification for Web-Based Applications. The vulnerability is a Host Header Injection in the /register and /confirm-email endpoints. It allows an attacker to manipulate the Host header in HTTP requests to generate malicious email confirmation links. These links can redirect users to attacker-controlled domains. This vulnerability affects all users relying on email confirmation for account registration or verification. This vulnerability is fixed in 1.2.5-alpha-patch.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
指向未可信站点的URL重定向(开放重定向)
来源:美国国家漏洞数据库 NVD
漏洞标题
Drawing-Captcha APP 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Drawing-Captcha APP是Drawing Captcha开源的一个验证码应用。 Drawing-Captcha APP存在输入验证错误漏洞,该漏洞源于/register和/confirm-email端点存在主机标头注入,可能导致用户被重定向到攻击者控制的域。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62428 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62428 的情报信息

  • 标题: Host Header Injection in Email Confirmation Link · Issue #30 · Drawing-Captcha/Drawing-Captcha-APP -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Host Header Injection in Email Confirmation Link · Issue #30 · Drawing-Captcha/Drawing-Captcha-APP

  • 标题: Security Advisory: Host Header Injection in `/register` and `/confirm-email` Endpoints · Advisory · Drawing-Captcha/Drawing-Captcha-APP · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Security Advisory: Host Header Injection in `/register` and `/confirm-email` Endpoints · Advisory · Drawing-Captcha/Drawing-Captcha-APP · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-62428
四、漏洞 CVE-2025-62428 的评论

暂无评论

发表评论