MehranTurk/CVE-2026-31908
GitHub: MehranTurk/CVE-2026-31908
一款针对 Apache APISIX 头部注入漏洞 CVE-2026-31908 的概念验证利用工具。
Stars: 1 | Forks: 0
# CVE-2026-31908 - Apache APISIX 头部注入漏洞利用
[](https://nvd.nist.gov/vuln/detail/CVE-2026-31908)
[](https://nvd.nist.gov/vuln/detail/CVE-2026-31908)
[](https://www.python.org/)
[]()
## 📋 概述
这是一个针对 **CVE-2026-31908** 的 **概念验证(PoC)** 漏洞利用程序,该漏洞是在 **Apache APISIX** 版本 `2.12.0` 到 `3.15.0` 中发现的一个关键头部注入漏洞。
该漏洞存在于 `forward-auth` 插件中,由于对 CRLF(`\r\n`)序列的清理不当,允许未经身份验证的攻击者注入恶意的 HTTP 头部。这可能导致 **身份验证绕过**、**权限提升** 以及 **未经授权访问** 受保护资源。
## 🎯 漏洞详情
| 属性 | 值 |
|-----------|-------|
| **CVE ID** | CVE-2026-31908 |
| **严重性** | 严重 |
| **CVSS 分数** | 10.0 / 10 |
| **攻击向量** | 网络 |
| **攻击复杂度** | 低 |
| **所需权限** | 无 |
| **用户交互** | 无 |
| **机密性影响** | 高 |
| **完整性影响** | 高 |
| **弱点类型** | CWE-75(未能清理特殊元素) |
### 受影响的版本
- Apache APISIX:**2.12.0** 到 **3.15.0**
### 已修复的版本
- Apache APISIX:**3.16.0** 及以上版本
## 🔧 安装
### 先决条件
- Python 3.6 或更高版本
- `requests` 库
### 设置
```
# 克隆仓库
git clone https://github.com/MehranTurk/CVE-2026-31908.git
cd CVE-2026-31908
# 安装依赖
pip install -r requirements.txt
# 使脚本可执行(Linux/macOS)
chmod +x CVE-2026-31908.py
```
## 💰 捐赠
如果此工具对您有所帮助,您可以通过以下方式支持其开发 ❤️
| 货币 | 地址 |
|-----------|----------|
| **USDT / TRX** | `TSVd8USqUv1B1dz6Hw3bUCQhLkSz1cLE1v` |
| **BTC** | `32Sxd8UJav7pERtL9QbAStWuFJ4aMHaZ9g` |
| **ETH** | `0xb2ba6B8CbB433Cb7120127474aEF3B1281C796a6` |
| **LTC** | `MEUoFAYLqrwxnUBkT4sBB63wAypKEdyewy` |
© 2026 **MehranTurk** — 保留所有权利。
标签:Apache APISIX, API 安全, CRLF 注入, CVE, CWE-75, HTTP 头注入, PoC, Python, 低复杂度攻击, 依赖库漏洞, 利用, 反向代理安全, 威胁模拟, 开源安全工具, 攻击, 教育用途, 数字签名, 无后门, 无身份验证攻击, 暴力破解, 漏洞, 漏洞披露, 特权提升, 网络安全, 自动化部署, 认证绕过, 请求库, 逆向工具, 逆向工程平台, 隐私保护