漏洞关键信息 1. 漏洞名称 Brute-force protection bypass using X-Forwarded-For header 2. 漏洞影响版本 受影响版本: 1.6.4 已修复版本: 1.6.5 3. 漏洞描述 概述: 在WBCE CMS 1.6.4版本中存在暴力破解防护绕过漏洞。登录限制机制在5次无效登录尝试后会封锁IP地址,但应用程序完全信任X-Forwarded-For头部,未进行验证或限制其使用。攻击者通过修改X-Forwarded-For头部可以在每次请求中重置计数器,从而获得无限的密码猜测尝试,有效绕过暴力破解保护。 4. 漏洞细节 X-Forwarded-For信任问题: 应用程序使用X-Forwarded-For头部确定客户端IP,若头部存在则直接信任其值,否则使用REMOTE_ADDR。 攻击步骤: - 攻击者使用X-Forwarded-For发送5次无效密码,IP被封锁。 - 使用新的X-Forwarded-For继续尝试,被视为新IP,防御机制被无限绕过。 示例: 报告中演示了通过多个10.0.0.x IP地址进行不限制的暴力破解尝试。 5. 漏洞严重性 CVSS分数: 6.3/10 CVE ID: CVE-2025-66204 6. 影响 无限制的暴力破解: 任何账户可能被无限次暴力破解。 管理员账户风险: 可能导致管理员账户被攻破。 缺乏限速机制: 无有效的速率限制保护。 7. 其他信息 报告者: lukasz-rybak 自动PoC脚本: 提供了基于Python的自动化脚本,演示如何绕过暴力破解保护机制。