关键漏洞信息 漏洞标题 Weak Password Length Validation 漏洞ID GHSA-2cjv-6wg9-f4f3 影响的包和版本 Package: @strapi/core (npm) Affected versions: = 5.10.3 漏洞描述 Summary: Strapi 的密码哈希实现使用 bcryptjs 缺乏最大密码长度验证。由于 bcryptjs 截断超过 72 字节的密码,这可能导致潜在的漏洞,如身份验证绕过和性能下降。 POC: 创建一个密码超过 72 个字符的管理员用户(例如 85),仅使用密码的前 72 个字符登录。认证成功,确认问题。 Proposed Solution: 添加最大密码长度验证(72 个字符)在密码创建和更新时,对管理员和用户都进行。在登录时将超过 72 字节的密码截断。 影响 Authentication Bypass: 用户可能无意中设置超过 72 字节的密码,导致截断、可预测的哈希值。 Performance Issues: 过长的密码会降低服务器性能。 CVSS v3 基本指标 Severity: Low (0.0/10) Attack vector: Local Attack complexity: High Privileges required: Low User interaction: Required Scope: Unchanged Confidentiality: None Integrity: None Availability: None CVE ID CVE-2025-25298 弱点 CWE-261 报告者 sinanptm