关键信息 漏洞概述 CVE编号: CVE-2025-60790 影响版本: ProcessWire 3.0.246 漏洞类型: DoS (拒绝服务) 描述 问题: ProcessWire在处理用户上传的ZIP文件时,未进行任何验证和资源限制。 具体行为: - 将上传的存档写入临时目录并立即调用 。 - 遍历所有ZIP条目并调用 ,仅应用简单的子字符串保护,无总解压大小、条目数量、目录深度或提取时间检查。 - 清理操作仅在提取后发生。 影响 请求时间DoS: 小型、高度可压缩的ZIP(如40MB)可膨胀至多GB,导致CPU和磁盘使用率激增,引发整个站点的可观减速。 磁盘耗尽级联: 如果提取增长到页面的自由空间,站点可能遇到ENOSPC错误,导致缓存、会话写入、图像转换和日志写入失败。 低权限、现实攻击者: 权限通常授予翻译人员或内容工作人员,他们可以触发DoS而无需管理员权限。 重复性和并行性: 多个并行或重复上传产生累积压力,饱和PHP-FPM工作线程和磁盘。 持久存储滥用: 嵌套ZIP可能导致无限存储增长和任意文件种植。 示例 示例ZIP炸弹: poc_bomb.zip 参考 CVE官方记录 ProcessWire相关问题