支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-69199 基础信息
漏洞信息
                                        # Pterodactyl Wings WebSocket 无限流监控,易受DOS攻击

## 概述
Wings 是 Pterodactyl 游戏服务器管理面板的服务器控制平面。在版本 1.12.0 之前,Wings 的 WebSocket 实现缺乏适当的速率限制和消息大小限制,可被恶意用户利用导致拒绝服务。

## 影响版本
- **受影响版本**:Wings 1.12.0 之前的版本
- **修复版本**:Wings 1.12.0

## 细节
- WebSocket 连接未实施速率限制和流量控制。
- 攻击者可建立大量 WebSocket 连接并频繁请求数据,导致网络流量激增。
- 未限制单条消息的大小,允许发送超大消息。
- 恶意用户可利用此缺陷发送或接收海量数据,持续消耗系统资源。

## 影响
- 网络带宽被大量占用。
- 主机 CPU 和内存资源被耗尽。
- 可导致 Wings 服务或整个主机系统拒绝服务(DoS)。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Pterodactyl Wings's websocket endpoints have no visible rate limits or monitoring, allowing for DOS attacks under certain circumstances
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Wings is the server control plane for Pterodactyl, a free, open-source game server management panel. Prior to version 1.12.0, websockets within wings lack proper rate limiting and throttling. As a result a malicious user can open a large number of connections and then request data through these sockets, causing an excessive volume of data over the network and overloading the host system memory and cpu. Additionally, there is not a limit applied to the total size of messages being sent or received, allowing a malicious user to open thousands of websocket connections and then send massive volumes of information over the socket, overloading the host network, and causing increased CPU and memory load within Wings. Version 1.12.0 patches the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-69199 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-69199 的情报信息

  • 标题: Websocket endpoints have no visible rate limits or monitoring, allowing for DOS attacks under certain circumstances · Advisory · pterodactyl/panel · GitHub -- 🔗来源链接

    标签:x_refsource_CONFIRM

    神龙速读:
                                            ### 关键信息

**摘要:**
- 漏洞描述: 在Wings中,Websockets缺乏适当的速率限制和节流。一个恶意用户可以打开大量连接并通过这些套接字请求数据,导致在某些情况下发生DOS攻击。
- 影响范围: 映射版本`< 1.12.0`,修复版本为`1.12.0`。

**CVE及其评估信息:**
- CVE ID: `CVE-2025-69199`
- 严重性等级: High; 评分:8.3
- **可能导致的问题:** 对系统可用性产生高影响,但对系统的机密性和完整性影响为无。

**相关漏洞类别:**
- CWE-400: Uncontrolled Resource Consumption ('Resource Exhaustion')
- CWE-770: Allocation of Resources Without Limits or Throttling

**CVSS信息:**
- **CVSS v4.0 Base Metrics:**
    - Exploitability Metrics: 
        - Attack Vector: Network
        - Attack Complexity: Low
        - Attack Requirements: None
        - Privileges Required: Low
        - User Interaction: None
    - Vulnerable System Impact Metrics:
        - Confidentiality: None
        - Integrity: None
        - Availability: High
    - Subsequent System Impact Metrics:
        - Confidentiality: None
        - Integrity: None
        - Availability: High
    Websocket endpoints have no visible rate limits or monitoring, allowing for DOS attacks under certain circumstances · Advisory · pterodactyl/panel · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-69199
四、漏洞 CVE-2025-69199 的评论

暂无评论

发表评论