一、 漏洞 CVE-2025-53634 基础信息
漏洞信息
# Chall-Manager的HTTP网关没有头部检查超时,可能导致慢loris攻击
## 概述
Chall-Manager 是一个平台无关的系统,能够在玩家需求下启动挑战。HTTP 网关处理请求头,但没有设置超时。通过慢速loris攻击,攻击者可以导致服务拒绝(DoS)。
## 影响版本
- 影响版本:v0.1.3及之前版本
- 修复版本:v0.1.4
## 细节
HTTP 网关在处理请求头时没有设置超时,攻击者可以通过慢速loris攻击,长时间占用资源导致服务拒绝。该漏洞不需要身份验证或授权,任何人可以利用这个漏洞进行攻击。
## 影响
该漏洞可能造成服务拒绝,使系统无法正常响应。虽然建议将 Chall-Manager 埋藏在基础设施的深处以避免直接攻击,但在实际操作中,未经限制的访问可能会导致漏洞被利用。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-53634 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-53634 的情报信息
-
-
标题: HTTP Gateway have no header check timeout leading to potential slow loris attacks · Advisory · ctfer-io/chall-manager · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: fix: potential slowloris attack on http server header reading · ctfer-io/chall-manager@1385bd8 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-53634