better-auth IPv6 prefix rotation bypasses rate limiting (CWE-307)

漏洞概述 标题: Rate limiter keys IPv6 addresses individually and is bypassable via prefix rotation 描述: 受影响版本: 版本 或 修复版本: 和 影响: 攻击者可以通过IPv6地址前缀轮换绕过速率限制，导致对 , , 等路径的未授权访问。 该漏洞允许攻击者通过不同的IPv6地址编码（大写、压缩、IPv4映射、hex编码的IPv4-in-IPv6）生成多个不同的密钥，从而绕过速率限制。 影响范围 受影响用户: - 使用 版本 或 的用户。 - 认证端点服务可达的客户端包括Cloudflare、Vercel、Fly.io、AWS Application Load Balancer、Google Cloud Load Balancing等。 - 速率限制配置启用（默认）并依赖 值（默认设置）或其他配置的IP承载头。 - 在 版本中， 帮助器存在于版本中，但IPv6前缀长度默认为 。 - 如果部署仅服务IPv4客户端，则前缀轮换向量不适用。 修复方案 升级: - 升级到 或更高版本。当前稳定版本 和预发布版本 都包含此修复。 - 如果无法升级，请参阅以下变通方法。 变通方法: - 对于 : 设置 在您的auth配置中。 帮助器在 中仅默认错误。这恢复了 行为在库存配置。 - 对于 : 将绕过缓解措施上移。在您的CDN、WAF或负载均衡器速率限制策略上设置IPv6前缀长度为 （对于住宅用户更粗粒度，对于住宅ISP更细粒度）。Cloudflare、Vercel Firewall、AWS WAF和Google Cloud Armor都支持前缀速率限制。 - 作为任何版本上的部分缓解措施: 收紧 , 和 端点的 窗口。这缩小了滥用窗口，但不会关闭它。 影响 直接后果: - 来自单个IPv6可寻址客户端的未授权尝试不再受速率限制。 - 通过响应形状差异进行的账户枚举变得更快。 - 密码重置和电子邮件验证邮件扇出可以被放大。 间接后果: - 该漏洞不直接损害任何账户。成功的利用仍然需要攻击者猜测密码存储接受的凭证。评级反映了在直接妥协之前失去一层防御的深度。 参考 CWE-307: 不适当的限制过度身份验证尝试 RFC 4291: IPv6寻址架构 RFC 5952: IPv6地址文本表示推荐 RFC 6177: IPv6地址分配给终端站点 修复代码 总结 该漏洞允许攻击者通过IPv6地址前缀轮换绕过速率限制，导致对特定路径的未授权访问。修复方案包括升级到 或更高版本，或在无法升级时采取相应的变通方法。

目標達成すべての支援者に感謝 — 100%達成しました！

better-auth IPv6 prefix rotation bypasses rate limiting (CWE-307)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

better-auth IPv6 prefix rotation bypasses rate limiting (CWE-307)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！