关键信息 漏洞概述 漏洞类型: 确认邮件节流配置错误导致无限确认邮件攻击未验证的电子邮件。 CVE ID: CVE-2025-54879 严重性: 中等 (CVSS v3: 5.3/10) 影响版本与修复版本 受影响版本: 3.1.5 - 4.4.2 已修复版本: 4.4.3, 4.3.11, 4.2.24 漏洞详情 问题描述: Mastodon 的内置速率限制使用 来限制用户请求密码重置和重新发送确认邮件的频率。在 中的一个复制粘贴错误错误地配置了确认邮件端点的每个地址节流。因此,任何未经身份验证的用户都可以重复向 发送 POST 请求,使用相同的电子邮件地址,并且永远不会达到节流限制。攻击者可以通过轮换 IP 地址来发送无限数量的确认邮件,从而淹没出站邮件队列或骚扰用户。 技术细节 代码片段: 问题原因: 由于块从不匹配 ,当用户反复请求新的确认指令时,每个电子邮件计数器从未增加。唯一剩下的保护是基于 IP 的节流(每五分钟 25 个请求)。 影响 潜在风险: 这是一个垃圾邮件/拒绝服务漏洞。任何未经授权的用户可以创建或针对一个未确认的账户,并反复触发确认邮件,而不会达到预期的每个地址限制。这可能会淹没 Mastodon 实例的邮件队列,并用确认消息骚扰用户。