CVE-2025-69243CVE-2025-69243是Raytha CMS中发现的一个用户枚举漏洞。该漏洞存在于密码重置功能中,由于系统在处理密码重置请求时对有效用户和无效用户返回了不同的响应消息,攻击者可以利用这一差异来判断某个用户名或邮箱是否在系统中存在。此漏洞无需任何认证即可利用,攻击者可以通过自动化工具批量探测系统中的有效用户账户。一旦获取到有效用户列表,攻击者可以进一步实施暴力破解攻击或社会工程攻击。该漏洞影响Raytha CMS 1.5.0之前的所有版本,官方已在1.5.0版本中修复此问题。建议所有使用Raytha CMS的用户尽快升级到最新版本以消除安全风险。
Raytha CMS的密码重置功能存在用户枚举漏洞。攻击者向密码重置端点发送请求时,系统会根据用户是否存在返回不同的错误消息或响应状态。例如,当用户不存在时可能返回「用户未找到」或类似的提示,而有效用户则会收到密码重置链接或不同的确认消息。这种响应差异使得攻击者能够在无需任何权限的情况下,通过自动化脚本批量枚举系统中的有效用户名。攻击者可以利用此漏洞构建有效的用户名列表,随后针对这些账户实施密码暴力破解攻击。由于密码重置功能通常不需要验证码或速率限制,该漏洞容易被大规模利用。建议通过统一错误消息、使用速率限制、添加验证码等方式修复此漏洞。