关键信息 漏洞概述 漏洞名称: X-Forwarded-For Header Spoofing Bypasses Litesar Rate Limiting CVE ID: CVE-2025-59152 CVSS v3 基本评分: 7.5/10 严重性: 高 描述 Litesar 的 RateLimitMiddleware 可以通过操纵 X-Forwarded-For 头来完全绕过速率限制,使得基于 IP 的速率限制对有决心的攻击者无效。 问题 RateLimitMiddleware 使用 中的缓存键生成速率限制的缓存键。当存在 X-Forwarded-For 头时,中间件会无条件地信任并使用其值作为客户端标识符的一部分。由于客户端可以设置任意 X-Forwarded-For 值,每个伪造的 IP 都会创建一个单独的速率限制桶,攻击者可以通过不同的头值轮换来避免命中任何单个桶的限制。 再现步骤 提供了一个最小化测试用例,展示了如何通过设置 X-Forwarded-For 头来绕过速率限制。 安全影响 暴力破解防护绕过: 受速率限制保护的身份验证端点变得容易受到凭据填充攻击。 API 滥用: 公共 API 可以在没有限制的情况下被滥用。 资源耗尽: 攻击者可以消耗更多的服务器资源。 潜在解决方案 默认仅信任 socket IP。 配置可信代理。 实施头部验证。 环境详情 Litesar 版本: 2.17.0 Python: 3.11 此漏洞影响所有使用 RateLimitMiddleware 并具有默认设置的 Litesar 应用程序,可能包括大多数实现速率限制的应用程序。