XForwardedEmail は信頼できる認証ヘッダーとして扱われるため、攻撃者は管理者を含むあらゆるユーザーになりすますことができます。
攻撃者はヘッダーに悪意のあるコンテンツを挿入することで、悪意のあるコードに誘導される可能性があります。
CVE-2025-64484 は、クライアントのセキュリティヘッダーリクエストからセキュリティヘッダーのストリッピングとアンダースコアの削除を可能にする OAuth2 プロキシの脆弱性を悪用しました。
この脆弱性は、クライアントリクエストがアンダースコアヘッダー値(e-ForwardedMail)に正規化された際に発見されました。
コメント