漏洞关键信息 漏洞概述 漏洞名称: AllowedHosts validation bypass due to unescaped regex metacharacters in configured host patterns 严重程度: Moderate (6.5/10) CVE ID: CVE-2026-25479 CWE: CWE-185 影响版本 受影响版本: 2.19.0 修复版本: 2.20.0 漏洞描述 概要 AllowedHosts 主机验证可以被绕过,因为配置的主机模式在不转义正则表达式元字符(特别是点号 .)的情况下被转换为正则表达式。配置的允许列表条目例如 example.com 可以匹配 exampleXcom。 详情 在 中,允许列表条目被编译成正则表达式模式,这使得正则表达式元字符在转义后仍保留特殊含义(例如, 匹配任何字符)。这使得攻击者可以提供一个符合正则表达式的主机名,但不是预期的实际主机名,从而绕过验证。 PoC (概念验证) 服务器代码 ( ) 客户端代码 ( ) 预期结果(漏洞行为) → 400 无效主机 → 200 ok (绕过) 影响 影响类型: 安全控制绕过(主机允许列表) 受影响对象: 依赖于 AllowedHosts 防御 Host 头攻击(缓存中毒、绝对 URL 构造滥用、密码重置链接中毒等)的应用程序。下游影响取决于应用行为,但绕过会破坏一个核心缓解层。