Node.js HTTP请求走私漏洞利用（CVE-2025-23167）

CVE-2025-23167 – Node.js HTTP请求走私漏洞利用

针对CVE-2025-23167的有效漏洞利用，这是一个影响Node.js 20.x版本（低于v20.19.2）的请求走私漏洞。该漏洞允许不当的HTTP头部终止，使攻击者能够绕过基于代理的访问控制。

文件

• exploit.py – 基于Python3的漏洞利用脚本
• lab.js – 用于模拟漏洞环境的简易Node.js服务器

使用方法

漏洞利用

运行利用脚本：

• 执行 python3 exploit.py <目标域名或IP> <端口>

示例输入与输出

实验环境搭建

设置测试环境：

• 确保使用Node.js v20.19.1或更低版本
• 安装express（npm install express）
• 运行 node lab.js 启动服务器
• 服务器将在http://localhost:8989（或您选择的端口）可用