CVE-2025-23217 in mitmproxy
Tóm tắt
Bởi VulDB • 02/06/2026
mitmproxy là một proxy HTTP trung gian (intercepting proxy) có khả năng TLS tương tác, dành cho các chuyên gia kiểm thử xâm nhập và nhà phát triển phần mềm; mitmweb là giao diện web dựa trên trình duyệt dành cho mitmproxy. Trong mitmweb phiên bản 11.1.1 trở xuống, một client độc hại có thể sử dụng máy chủ proxy của mitmweb (mặc định lắng nghe trên `*:8080`) để truy cập vào API nội bộ của mitmweb (mặc định lắng nghe trên `127.0.0.1:8081`). Nói cách khác, mặc dù không thể truy cập trực tiếp vào API, kẻ tấn công vẫn có thể truy cập API thông qua proxy. Kẻ tấn công có thể nâng cấp quyền truy cập kiểu SSRF này thành việc thực thi mã từ xa (RCE). Các công cụ mitmproxy và mitmdump không bị ảnh hưởng. Chỉ có mitmweb là bị ảnh hưởng. Lỗ hổng này đã được khắc phục trong mitmproxy phiên bản 11.1.2 trở lên. Người dùng được khuyến nghị nâng cấp. Không có các giải pháp tạm thời (workaround) nào được biết đến cho lỗ hổng này.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.