关键漏洞信息 CVE ID: CVE-2025-22381 漏洞类型: Host Header Injection 受影响项目: TID-Lab/aggie 受影响版本: 所有版本(包括2.6.1及更早版本;截至2026年2月尚未应用修复) 披露日期: 2026年2月 报告者: Anas Abderrahman Benbarek 发现日期: 2025年9月17日 严重性: 中到高(估计CVSS得分约7.1-7.5) 影响 影响: 使钓鱼攻击成为可能,导致密码重置令牌被盗和潜在的账户接管。 技术严重性与影响 网络可达性: 网络可达性 (AV:N) 是否需要权限: 不需要权限 (PR:N) 复杂度: 低复杂度 (AC:L) 用户交互: 需要用户交互 (UI:R) 影响范围: 范围可改变,影响受害者账户(S:C) 机密性和完整性影响: 影响受害者账户的机密性和完整性 (C:L/I:H) PoC(概念验证) 环境 Ubuntu 18.04/20.04 Node 12.16 MailHog 本地运行用于邮件捕获 Aggie 配置指向 localhost:1025 的邮件传输 步骤 1. 克隆并启动 Aggie 2. 触发恶意重置 3. 检查通过 MailHog 发送的邮件 披露时间线 发现 + 本地 PoC: 2025年9月17日 邮件发送至报告者: 2025年9月17日 提交至 MITRE: 2025年9月17日 MITRE 赋予 CVE 编号: 2025年10月9日 无公开补丁或响应: 2025年10月-12月 公开披露: 2026年2月 推荐修复 代码更改: 替换 中的易受攻击代码行,并使用可信值替换 头。 配置: 在 中添加 。