关键信息总结 漏洞标题 名称: Improper resource locking allows raced queries to create more resources than allotted 等级: Moderate 发布者: anthonyphysgun 发布时间: 5小时前 受影响版本与修复版本 受影响版本: < 1.12.0 修复版本: 1.12.0 描述 概要 Pterodactyl 实现了对单个服务器可以拥有的资源总数(如数据库、端口分配、备份等)的速率限制。这些资源限制在请求周期中对每个服务器进行应用和验证。 然而,恶意用户可以同时发送大量请求来创建比服务器允许更多的资源。这是因为验证在请求周期早期发生,并且在处理过程中没有锁定目标资源。因此,同时发送大量请求会导致所有这些请求在不使用任何目标资源的情况下通过验证,并同时创建资源。 影响 恶意用户能够拒绝系统中的其他用户使用资源,并且能够过度消耗节点的有限分配,或者比系统允许的更快地填满备份空间。 严重性 CVSS v4基本度量值: 6.0 / 10 可利用性度量值 攻击向量: Network 攻击复杂性: Low 攻击需求: Present 需要的权限: Low 用户交互: None 易受攻击的系统影响度量值 机密性: None 完整性: None 可用性: High 后续系统影响度量值 机密性: None 完整性: None 可用性: Low 漏洞标识 CVE ID: CVE-2025-69198 弱点 CWE-400 CWE-413 致谢 报告人: vsevolodmelnyk