关键漏洞信息 漏洞概述 漏洞名称: Persistent Denial of Service via Uncaught Exception from Misleading File Extension in Avatar Upload CVE ID: CVE-2025-55154 CVSS v3 基本指标: - 严重性: 中等 (5.7/10) - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 低 - 用户交互: 需要 - 范围: 不变 - 机密性影响: 无 - 完整性影响: 无 - 可用性影响: 高 影响版本与修复版本 受影响版本: = 1.17.3 漏洞描述 摘要: Part-DB 1.17.2 版本中存在一个漏洞,允许任何经过身份验证的用户上传具有误导性文件扩展名(如 .jpg.txt)的个人资料图片,导致在尝试查看或编辑该用户的个人资料时出现持续的 500 Internal Server Error。这使得个人资料在 UI 中永久不可访问,对用户和管理员都构成拒绝服务(DoS)。 漏洞细节 问题位置: 文件中的 方法。 原因: 该方法仅根据文件扩展名假设上传的文件是有效的图像,当文件具有有效的图像二进制但扩展名误导(如 .jpg.txt)时,会导致未处理的异常,从而在缩略图生成过程中引发持续的服务器错误。 PoC (概念验证) 1. 以具有更改头像权限的用户身份登录(例如,管理员或具有个人资料编辑权限的用户)。 2. 导航到 。 3. 上传一个有效图像文件,但文件名带有额外扩展名(如 .jpg.txt)。 4. 提交表单保存用户设置。 5. 尝试重新访问 或从管理面板访问受影响的用户。 结果 两种操作都会一致地触发 500 Internal Server Error。 影响 受影响用户无法访问自己的个人资料设置 ( ),实际上将自己锁定在与头像相关的功能之外。 管理员无法查看、编辑或删除受影响用户,每次尝试渲染用户的头像都会使界面崩溃并返回 500 错误。 故障状态是持久的,不能通过 UI 解决;需要手动干预(如文件系统清理或数据库修补)才能恢复访问。 该问题不涉及远程代码执行、权限提升或数据泄露,但它破坏了核心功能,并且如果被多个用户有意触发,可能会降低管理操作的效率。