关键信息 漏洞概述 漏洞名称: HTTP clients can manipulate custom headers added by Fabio CVE ID: CVE-2021-45163 CVSS 评分: 9.1/10 严重性: Critical 影响版本 受影响版本: =1.8.5 描述 Fabio 允许客户端移除 X-Forwarded 头部(除了 X-Forwarded-For),这在处理代理头部时可能导致安全问题。攻击者可以通过伪造的 Host 和 X-Forwarded-Port 头部绕过后端应用的安全检查。 细节 已发现以下自定义头部可以被移除或操纵: X-Forwarded-Host X-Forwarded-Port X-Forwarded-Proto X-Real-Ip Forwarded PoC (概念验证) 提供了 Docker Compose 文件和 Python 脚本用于复现漏洞。 影响 如果后端应用依赖这些自定义头部进行安全验证操作,它们的移除或修改可能导致访问控制绕过。 参考 CVE-2021-45163 CVE-2021-37377 CVE-2021-45163