关键漏洞信息 漏洞标题 Unauthenticated Task Queue Flood in COCO Annotator via /api/info/long_task 影响项目 漏洞概述 问题: 未经过身份验证和速率限制,允许任何远程用户触发 Celery 后台任务并将条目写入数据库(TaskModel)。 后果: 会导致严重的拒绝服务 (DoS) 漏洞。攻击者可以通过大量重复请求淹没该端点,使 Celery 任务队列和工作者不堪重负,导致整个应用无响应。 漏洞细节 易受攻击端点: 证明概念(PoC) 1. 执行攻击淹没: 2. 观察症状: - 前端无法响应,显示“Loading datasets...”无限期漩涡。 - HTTP 请求缓慢或失败。 - 系统日志显示大量任务创建和MongoDB插入。 - Redis-cli LLEN Celery 显示队列深度不可控增长。 3. 停止攻击后: - 系统依旧不可用,需要手动清除任务队列和数据库。 漏洞代码 "缺失: , " 影响 远程未经认证的攻击者可以: - 触发成千上万或数百万的后台任务 - 充满后台MongoDB - 筋疲力尽的Celery工作者和队列当前后处理(即,Redis/RabbitMQ) - 导致完全DoS,阻止所有前端的行为(例如:数据集加载) - 持久影响直至任务队列和数据库手动清除。 参考资料 https://cwe.mitre.org/data/definitions/306.html https://cwe.mitre.org/data/definitions/400.html https://owasp.org/Top10/A05_2021-Security_Misconfiguration/ 发现者 发现者:Thoropass研究员Natan Morette