Revive Adserver 分页参数漏洞:无限制的setPerPage参数导致资源耗尽与日志批量泄露风险
报告 #3413890 - 无限制的setPerPage参数允许超大型结果集 / 资源耗尽 / 批量日志获取
描述:
setPerPage 查询参数控制日志查看器的分页,但服务器端未对其进行验证或设置上限。攻击者可以提供一个极大的数值(例如 setPerPage=100000000000000000),而应用程序在构建结果集时会尝试满足该值。此行为可能导致过度的数据库工作、庞大的响应、应用程序速度减慢,并可能实现日志条目的批量检索。
复现步骤:
-
以有权访问日志视图的用户身份进行认证。
-
setPerPage的正常值范围是10到100。将setPerPage的值设置为300,网站仍然会返回结果。
(这是当
setPerPage值在允许范围内时的典型界面)
影响:
- 如果服务器尝试查询/渲染极大的N条记录 → 内存/CPU/数据库I/O急剧增加 → 超时、内存不足、崩溃(拒绝服务)。
- 如果后端在一个响应中返回所有数据 → 带宽/时间负载沉重,浏览器客户端可能挂起。
时间线:
- 2025年11月6日,上午8:45 (UTC) –
vidang04向 Revive Adserver 提交报告。 - 2025年11月6日,上午9:47 (UTC) – mbeccati (Revive Adserver 员工) 发表评论:感谢报告。对此我有些犹豫。修复它会是件好事,但如果你在一个安装实例上拥有合法账户,可以做太多事情使服务器过载,我很难认为这可以被称为一个漏洞。
- 2025年11月6日,上午9:57 (UTC) – vidang04 发表评论:在日志查看器中,无论是普通用户还是管理员都无法删除日志条目,并且日志量会随时间无限增长。这使得经过身份验证的用户可以假借“检查日志”之名,通过操纵
setPerPage来合法地请求非常大的结果集,从而在单次操作中批量检索大量数据。 - 2025年11月11日,上午7:36 (UTC) – vidang04 发表评论:是否有进一步更新?
- 2025年11月11日,上午8:55 (UTC) – mbeccati (Revive Adserver 员工) 发表评论:感谢您的耐心等待。补丁的规模比两行代码的修复要大。我也在检查其他使用分页器的脚本,看是否存在类似问题。
- 2025年11月11日,上午9:07 (UTC) – vidang04 发表评论:感谢您的回复。
- 2025年11月11日,上午9:32 (UTC) – mbeccati (Revive Adserver 员工) 将报告状态更改为“已解决”并关闭报告。评论指出:附加的补丁文件
h1-3413890.patch(F4990259) 应该可以修复应用程序多个部分中的此问题。除非需要变更计划,否则我们预计下周进行安全修复版本发布。 - 2025年11月11日,上午9:33 (UTC) – mbeccati (Revive Adserver 员工) 将严重性从“高 (7.5)”更新为“中 (6.5)”。评论指出:更新CVSS以反映攻击需要一定权限。
- 大约7天前 – mbeccati (Revive Adserver 员工) 添加弱点“无限制或节流的资源分配”并移除弱点“不受控的资源消耗”。
- 大约7天前 – mbeccati (Revive Adserver 员工) 更新CVE引用为
CVE-2025-55128。 - 大约7天前 – mbeccati (Revive Adserver 员工) 请求公开此报告。
- 大约7天前 – mbeccati (Revive Adserver 员工) 公开了此报告。链接:https://www.revive-adserver.com/security/revive-sa-2025-004/
报告详情:
- 报告日期: 2025年11月6日,上午8:45 (UTC)
- 报告者: vidang04
- 报告对象: Revive Adserver
- 报告ID: #3413890
- 状态: 已解决
- 严重性: 中 (6.5)
- 公开日期: 2025年11月19日,下午1点 (UTC)
- 相关弱点: 无限制或节流的资源分配
- CVE ID: CVE-2025-55128
- 赏金: 无
- 账户详情: 无
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号