关键信息 漏洞描述 标题: Attackers can craft malicious pass-challenge page redirect URLs with the "Try Again" button 严重性: Moderate (5.1/10) CVE ID: CVE-2025-54414 弱点: CWE-80, CWE-601 影响 攻击者可以创建恶意的pass-challenge页面,导致用户执行任意JavaScript代码或触发其他非标准方案。 受影响版本 anubis (Native packages): < 1.12.1 ghcr.io/techarohq/anubis (Docker): < 1.12.1 ghcr.io/techarohq/botstopper/anubis (Docker): < 1.12.1 修复版本 所有受影响包: 1.21.3 注意事项 v1.21.2是一个不完整的修复版本,在最终测试时发布过程被中止。不要使用v1.21.2。 修复和绕过 修复提交: commit d40e9056bc75dec24b45b2892037b62f6e5a1428 绕过方法: 阻止任何带有 参数且不以 , 或无方案(本地路径重定向)开头的请求到 路由。 引用 感谢Ertugrul报告此问题至security address。