关键信息 漏洞概述 漏洞名称: Lack of Brute-Force Protections on Authentication Endpoints CVE ID: CVE-2025-57815 严重性: Low 影响版本与修复版本 受影响版本: < 2.69.1 已修复版本: 2.69.1 漏洞描述 摘要: Fides Admin UI 登录端点依赖于通用的基于 IP 的速率限制,缺乏针对暴力破解攻击的具体反自动化控制。这可能允许攻击者进行凭证测试攻击,如凭证填充或密码喷洒,对具有弱密码或之前被泄露的密码的账户构成风险。 详细信息: Fides 使用可配置的系统级速率限制来控制来自任何单个 IP 地址的流量。由于这个单一限制必须设置得足够高以容纳接收大量合法流量的端点,因此它只为登录端点提供较弱的保护。系统没有配备更高级的专门针对身份验证的保护措施。 影响 尽管密码复杂度要求和全局速率限制使得对单个账户的传统暴力破解攻击变得困难,但缺乏身份验证特定的保护使 Fides 更容易受到有针对性的攻击。攻击者可以使用自动化工具在多个用户账户上测试从数据泄露中获得的凭据或猜测常见密码。如果攻击者成功地破坏了一个账户,他们将获得该用户在 Fides Admin UI 中的全部权限。 修复措施 补丁: 漏洞已在 Fides 版本 2.69.1 中修复。建议用户升级到此版本或更高版本以保护其系统免受此威胁。 变通方法: 对于拥有商业 Fides Enterprise 许可证的组织,通过 OIDC 提供商(如 Azure、Google 或 Okta)配置单点登录 (SSO) 是一种有效的变通方法。启用 OIDC SSO 后,可以完全禁用用户名/密码认证,从而消除此攻击向量。此功能不适用于 Fides 开源用户。 严重性评估 此漏洞本质上是一个安全加固问题。虽然缺乏身份验证特定的速率限制可能会导致凭证填充攻击,但现有全局速率限制提供了基本保护,密码复杂度要求防止了简单的暴力破解攻击,并且成功的利用需要攻击者已经拥有来自外部泄露的有效凭据。