关键漏洞信息摘要 漏洞类型: 未限制文件上传(Unrestricted File Upload) CVE编号: CVE-2025-61506 组件: MediaCrush的上传端点( , Flask上传接口) 影响版本: 所有版本(截至2014年最后一次提交:8f4b2a3f) 影响: 拒绝服务(DoS) 严重性: CVSS 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) 漏洞描述 MediaCrush的 端点允许未经身份验证的攻击者上传任意大的文件,导致磁盘填满、Celery工作进程因内存不足崩溃,以及上传失败(HTTP 500/413)。此外,攻击者可滥用MediaCrush进行恶意文件存储(如非法内容)。 影响 服务拒绝: 填满磁盘,导致应用崩溃,阻止新上传或媒体服务。 存储滥用: 攻击者可以将MediaCrush用作无限免费存储。 云成本: 如果存储在云平台上(如AWS S3),将产生显著费用。 零日漏洞代码示例 影响范围 影响所有自托管的MediaCrush部署,版本至1.0.1。 缓和措施 在服务器端实施上传大小限制(如使用Flask的 配置和Web服务器的 设置)。 由于项目不再维护,建议用户fork并进行补丁,或避免部署。 参考资料 MediaCrush仓库 CWE-434定义