一、 漏洞 CVE-2025-14822 基础信息
漏洞信息
# 模型解析标签导致拒绝服务漏洞
## 概述
Mattermost 在特定版本中处理带有大量空格分隔标记的帖子时,未对输入大小进行有效验证,导致可被利用进行 CPU 资源耗尽攻击。
## 影响版本
10.11.x 版本中,版本号小于等于 10.11.8 的所有版本。
## 细节
系统在处理帖子中的 hashtags 时,未限制输入长度或 token 数量。攻击者可通过构造一个包含数千个空格分隔 token 的帖子,触发大量无意义的 hashtag 解析操作,导致 CPU 资源被过度占用。
## 影响
经过身份验证的攻击者可利用此漏洞,通过单个 HTTP 请求导致服务响应缓慢或拒绝服务(DoS),从而影响系统可用性。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
DoS from quadratic complexity in model.ParseHashtags
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Mattermost versions 10.11.x <= 10.11.8 fail to validate input size before processing hashtags which allows an authenticated attacker to exhaust CPU resources via a single HTTP request containing a post with thousands space-separated tokens
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
算法复杂性
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-14822 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-14822 的情报信息
标题: Security Updates -- 🔗来源链接
标签:
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **漏洞编号和描述**: - 漏洞编号:MMSA-2024-00362、MMSA-2024-00373、MMSA-2024-00369、MMSA-2024-00358、MMSA-2024-00351、MMSA-2024-00374、MMSA-2024-00368、MMSA-2024-00365、MMSA-2024-00364、MMSA-2024-00359。 - 漏洞描述:每个漏洞都有详细的描述,包括漏洞的严重性、受影响的版本范围、修复的版本以及修复的细节。 2. **漏洞严重性**: - 漏洞的严重性分为高、中、低三个级别。 3. **受影响的版本范围**: - 漏洞影响的具体版本范围,例如9.10.x <= 9.10.1、9.9.x <= 9.9.2等。 4. **修复的版本**: - 漏洞修复的版本,例如9.11.0、9.10.0等。 5. **修复的细节**: - 漏洞修复的具体细节,包括修复的代码变更、修复的方法等。 6. **发布日期**: - 漏洞修复的发布日期,例如2024-08-28、2024-07-23等。 7. **免责声明**: - 提供了免责声明,说明了漏洞修复的具体细节将在特定日期后公布,以及只提供最新版本的漏洞修复信息。 这些信息可以帮助用户了解Mattermost的安全更新情况,及时采取相应的安全措施。
- https://nvd.nist.gov/vuln/detail/CVE-2025-14822
四、漏洞 CVE-2025-14822 的评论
暂无评论