CRITICAL🇬🇧 English

CVE-2025-50578

Host Header Injection i Open Redirect w LinuxServer Docker-Heimdall

CVSS 9.8v3.1pub. 2025-07-30upd. 2025-08-25

Aplikacja LinuxServer.io Heimdall 2.6.3-ls307 nieprawidłowo waliduje nagłówki HTTP `X-Forwarded-Host` oraz `Referer`, umożliwiając nieuwierzytelnionemu atakującemu przeprowadzenie ataków Host Header Injection oraz Open Redirect. Podatność może prowadzić do phishingu, kradzieży sesji oraz manipulacji interfejsem użytkownika.

Pokaż oryginał (EN)

LinuxServer.io heimdall 2.6.3-ls307 contains a vulnerability in how it handles user-supplied HTTP headers, specifically `X-Forwarded-Host` and `Referer`. An unauthenticated remote attacker can manipulate these headers to perform Host Header Injection and Open Redirect attacks. This allows the loading of external resources from attacker-controlled domains and unintended redirection of users, potentially enabling phishing, UI redress, and session theft. The vulnerability exists due to insufficient validation and trust of untrusted input, affecting the integrity and trustworthiness of the application.

🤖 Analiza AI
Jak działa

Atakujący zdalnie i bez uwierzytelnienia manipuluje nagłówkami HTTP `X-Forwarded-Host` lub `Referer`, które aplikacja przyjmuje bez odpowiedniej weryfikacji jako zaufane źródło. Wstrzyknięcie kontrolowanej przez atakującego wartości nagłówka pozwala aplikacji ładować zewnętrzne zasoby z domen atakującego (Host Header Injection) lub przekierowywać użytkownika na dowolny adres URL (Open Redirect). Wynika to z braku wystarczającej walidacji niezaufanych danych wejściowych, co klasyfikuje podatność jako CWE-20 (nieodpowiednia walidacja danych wejściowych) oraz CWE-74/CWE-601 (wstrzyknięcie i otwarte przekierowanie).

Skutki

Atakujący może przeprowadzać ataki phishingowe poprzez przekierowanie użytkowników na złośliwe strony, dokonywać kradzieży sesji, manipulować interfejsem użytkownika (UI redress) oraz wymuszać ładowanie zewnętrznych zasobów z kontrolowanych przez siebie domen, naruszając integralność i wiarygodność aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek zaradczy należy rozważyć wdrożenie reguł na poziomie reverse proxy lub firewall odrzucających nieoczekiwane wartości nagłówków `X-Forwarded-Host` i `Referer` oraz ograniczenie dostępu do instancji Heimdall wyłącznie do zaufanych sieci.

Kogo dotyczy

LinuxServer.io Heimdall w wersji 2.6.3-ls307

Uwagi

Publicznie dostępny opis exploitacji opublikowany w serwisie Medium (referencja: medium.com/@juanfelipeoz.rar) oraz zgłoszenie błędu w repozytorium GitHub (#1451) potwierdzają jawność szczegółów technicznych podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Linuxserver Docker Heimdall

    APP
    Linuxserver
    2.6.3-ls307
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-54597HIGH7.2ten sam vendor

LinuxServer.io Heimdall before 2.7.3 allows XSS via the q parameter.

CVE-2022-47968MEDIUM5.4ten sam vendor

Heimdall Application Dashboard through 2.5.4 allows reflected and stored XSS via "Application name" to the "Ad...