关键漏洞信息 漏洞名称 IP Ban Bypass via X-Forwarded-For Header Spoofing CVE ID CVE-2026-27824 影响版本 <= 9.3.1 修复版本 9.4.0 漏洞详情 描述: Calibre Content Server 的暴力破解保护机制使用了一个由 和 头部组合生成的 ban key。由于 头部直接从 HTTP 请求中读取,没有任何验证或信任代理配置,攻击者可以通过简单地更改或添加该头部来绕过基于 IP 的禁令,使暴力破解保护完全无效。 漏洞关键点 X-Forwarded-For 未经验证: 该头部允许来自任何客户端无条件接受,没有任何检查是否请求通过受信的反向代理到达,可以设置为任意值。 禁用键包含可伪造头部: 来自客户端控制的 头部,更改头部值会产生不同的 ban key,使跟踪无意义。 失败登录记录到可伪造关键: 失败登录也记录到可伪造 key。 严重性 CVSS v3 基本度量: - 攻击向量: 网络 - 攻击复杂性: 低 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性: 低 - 完整性: 无 - 可用性: 无 CVSS 分数: 3.1 / AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 影响 类型: 不足的自动化 / 身份验证绕过 (CWE-307, CWE-346) 攻击者可以: - 完全绕过暴力破解保护 - 对任何用户账户进行无限的密码猜测尝试 - 妥协公开暴露的 calibre 服务器上的用户账号 - 通过观察响应差异而不被禁止的情况下枚举有效的用户名 PoC (概念验证) 提供了详细的过程来设置服务器、触发禁令、确认禁令已激活、绕过禁令和自动化暴力破解等操作步骤。 后果 特别是对互联网暴露的 calibre 服务器,暴力破解保护是抵御凭证填充和密码猜测攻击的主要防御,这使得攻击尤为危险。