关键漏洞信息 漏洞标题: Rate Limiting Bypass via X-Forwarded-For Header Spoofing 分类: Moderate 发布者: frankl10xygen GHSA ID: GHSA-59gr-529g-x45h 影响版本: <=1.7.70 修复版本: 1.7.71 漏洞描述 总结: 通过X-Forwarded-For头部欺骗绕过速率限制,使未授权攻击者能够在通用API端点上绕过基于IP的速率限制。攻击者可以通过操纵X-Forwarded-For头部伪造客户端IP,从而对受保护的端点进行无限请求,包括通用API端点(可能造成DoS)和其他速率限制功能。 详细信息: 应用程序使用express-rate-limit进行速率限制,依赖Express的信任代理配置来提取客户端IP地址。generalLimiter没有实现自定义IP验证,使其容易受到头部欺骗攻击。 PoC: 提供了具体步骤和curl命令示例,展示如何通过伪造X-Forwarded-For头部绕过速率限制。 影响: 此漏洞允许攻击者在通用API端点上完全绕过速率限制,对受保护的路由进行无限请求,可能导致服务拒绝、滥用资源密集型操作和绕过预期的使用限制。漏洞影响通用API速率限制(15分钟内100次请求),使速率限制机制对大多数API路由无效,并可能开放所有用户和基础设施被滥用。 CVSS 3.1基本指标 严重性: 6.5/10 攻击向量: Network 攻击复杂度: Low 所需权限: None 用户交互: None 范围: Unchanged 机密性: Low 完整性: None 可用性: Low CVE ID: CVE-2026-23848 弱点: CWE-807 报告者: p1ngul1n0