一、 漏洞 CVE-2025-69198 基础信息
漏洞信息
# Pterodactyl 资源锁定缺陷漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Pterodactyl's improper resource locking allows raced queries to create more resources than alloted
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Pterodactyl is a free, open-source game server management panel. Pterodactyl implements rate limits that are applied to the total number of resources (e.g. databases, port allocations, or backups) that can exist for an individual server. These resource limits are applied on a per-server basis, and validated during the request cycle. However, in versions prior to 1.12.0, it is possible for a malicious user to send a massive volume of requests at the same time that would create more resources than the server is allotted. This is because the validation occurs early in the request cycle and does not lock the target resource while it is processing. As a result sending a large volume of requests at the same time would lead all of those requests to validate as not using any of the target resources, and then all creating the resources at the same time. As a result a server would be able to create more databases, allocations, or backups than configured. A malicious user is able to deny resources to other users on the system, and may be able to excessively consume the limited allocations for a node, or fill up backup space faster than is allowed by the system. Version 1.12.0 fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-69198 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-69198 的情报信息
标题: Improper resource locking allows raced queries to create more resources than alloted · Advisory · pterodactyl/panel · GitHub -- 🔗来源链接
标签:x_refsource_CONFIRM
神龙速读:### 关键信息总结 #### 漏洞标题 - **名称**: Improper resource locking allows raced queries to create more resources than allotted - **等级**: Moderate - **发布者**: anthonyphysgun - **发布时间**: 5小时前 #### 受影响版本与修复版本 - **受影响版本**: < 1.12.0 - **修复版本**: 1.12.0 #### 描述 ##### 概要 Pterodactyl 实现了对单个服务器可以拥有的资源总数(如数据库、端口分配、备份等)的速率限制。这些资源限制在请求周期中对每个服务器进行应用和验证。 然而,恶意用户可以同时发送大量请求来创建比服务器允许更多的资源。这是因为验证在请求周期早期发生,并且在处理过程中没有锁定目标资源。因此,同时发送大量请求会导致所有这些请求在不使用任何目标资源的情况下通过验证,并同时创建资源。 #### 影响 恶意用户能够拒绝系统中的其他用户使用资源,并且能够过度消耗节点的有限分配,或者比系统允许的更快地填满备份空间。 #### 严重性 - **CVSS v4基本度量值**: 6.0 / 10 ##### 可利用性度量值 - **攻击向量**: Network - **攻击复杂性**: Low - **攻击需求**: Present - **需要的权限**: Low - **用户交互**: None ##### 易受攻击的系统影响度量值 - **机密性**: None - **完整性**: None - **可用性**: High ##### 后续系统影响度量值 - **机密性**: None - **完整性**: None - **可用性**: Low #### 漏洞标识 - **CVE ID**: CVE-2025-69198 #### 弱点 - **CWE-400** - **CWE-413** #### 致谢 - **报告人**: vsevolodmelnyk
标题: Merge commit from fork · pterodactyl/panel@09caa0d · GitHub -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:## 关键漏洞信息 ### 1. **代码更新概述** - **提交ID**: `09caa0d` - **提交者**: `vsevolodmelnyk` 和 `DaneEveritt` - **提交时间**: 2 周前 - **主要内容**: - 添加对资源创建端点的限流 - 修复限流器的中间件注册 - 在添加新资源模型时锁定服务器的资源模型 - 更加严格地限流子用户 ### 2. **关键变更点** #### 文件变更 - **9 个文件被修改**, 共计增加 128 行代码, 删除 32 行代码 #### 代码安全性相关变更 - **资源限流**: - 引入了 `ResourceLimit.php` 来实现对不同资源(如备份、数据库、文件等)的限流控制 - 对每种资源设置了特定的限流策略, 例如 `Backup` 每分钟限 3 次, `Database` 每分钟限 2 次等 #### 安全验证 变更的代码中没有任何明显的安全漏洞, 主要目的是增强系统的健壮性和资源管控.
- https://nvd.nist.gov/vuln/detail/CVE-2025-69198
四、漏洞 CVE-2025-69198 的评论
暂无评论