漏洞概述 该漏洞涉及在配对回复之前验证入站 DM 签名。修复措施包括: 在配对回复之前验证入站 DM 签名。 在速率限制之前授权发送者。 覆盖在速率限制饥饿时的待处理身份验证。 速率限制过大的入站密文。 清理被阻止的入站回复。 在身份验证之前速率限制。 影响范围 Nostr/Inbound DMs: 验证入站事件签名,防止伪造 DM 事件不再创建配对请求或触发回复尝试。 LINE/Outbound Media: 支持 LINE 图像、视频和音频出站发送,包括图像预览/跟踪处理视频,同时保持通用媒体发送在现有图像路径上。 WhatsApp/Reactions: 允许在传入 WhatsApp 消息上反应表情符号,实现更自然的对话交互,如使用 代替输入回复。 MCP and Remote HTTP/HTTPS Server Support: 支持 MCP 服务器的 URI 配置,包括认证头和更安全的配置减少 MCP 凭证。 修复方案 1. 验证入站 DM 签名: - 在配对回复之前验证入站 DM 签名,防止伪造 DM 事件。 2. 授权发送者: - 在速率限制之前授权发送者,确保只有合法的发送者可以发送消息。 3. 覆盖待处理身份验证: - 在速率限制饥饿时覆盖待处理身份验证,确保系统不会因为速率限制而阻塞合法请求。 4. 速率限制过大的入站密文: - 对过大的入站密文进行速率限制,防止恶意用户通过发送大量大消息来消耗资源。 5. 清理被阻止的入站回复: - 清理被阻止的入站回复,确保系统不会因为被阻止的发送者而积累无效数据。 6. 在身份验证之前速率限制**: - 在身份验证之前进行速率限制,防止恶意用户在身份验证过程中消耗资源。 POC 代码