关键信息 漏洞概述 漏洞名称: Memory Exhaustion via CalDAV Event Expansion CVE ID: CVE-2025-36045 严重性: High 影响范围 受影响版本: < 0.13.3 修复版本: 0.13.3 漏洞描述 攻击向量: 网络 (CalDAV REPORT 请求) 认证要求: 需要任何有效用户账户 影响: 通过内存耗尽导致拒绝服务 (DoS) 严重性: 高 攻击机制 1. 攻击者创建多个具有大描述负载的重复事件。 2. 攻击者发送一个带有宽日期范围的 CalDAV REPORT 请求以进行扩展。 3. 服务器扩展所有重复实例并将其存储在内存中。 4. 内存消耗无限制增长,可能导致服务器崩溃。 示例易受攻击请求 缓解措施 立即行动: 升级到 Stalwart 版本 0.13.3 或更高版本。 临时变通方法: - 在容器/系统级别实施内存限制。 - 监控服务器内存使用情况,注意异常峰值。 - 考虑限制 CalDAV REPORT 请求的速率。 - 仅限信任用户访问 CalDAV。 时间线 漏洞引入: 版本 0.12.0 (添加 CalDAV 支持) 漏洞报告: 2025 年 9 月 9 日 修复发布: 版本 0.13.3 公告发布: 2025 年 9 月 10 日