漏洞概述 标题: Feishu Webhook Pre-Authentication Rate-Limit Consumption Enables External Denial of Service 描述: 飞书Webhook处理程序中的逻辑缺陷允许未经身份验证的请求使用无效签名消耗与合法流量相同的每源速率限制桶。外部攻击者可以重复发送无效签名的Webhook请求,耗尽桶,导致后续有效的签名Webhook交付被HTTP 429拒绝。 详细信息: 漏洞请求路径在 中实现。 在 中,速率限制在验证令牌和签名检查之前强制执行。 只有在那之后,处理程序才验证令牌和签名。 因此,格式错误或未经身份验证的请求仍然会增加共享的 桶。 重复的无效签名请求可以强制速率限制拒绝来自同一源桶的后续有效签名请求。 影响范围 生态系统: pip 包名: hermes-agent 受影响版本: <= v2026.4.30 已修补版本: 未提供 严重程度: 中等 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 弱点: - CWE-307: 不适当的过度身份验证尝试限制 - CWE-400: 不受控的资源消耗 修复方案 受影响产品: 飞书Webhook处理程序 描述: Webhook处理程序在验证令牌或签名检查之前应用限制,导致未经身份验证的请求消耗速率限制桶。验证令牌和签名检查发生在速率限制之后,导致未经身份验证的请求消耗桶,使预身份验证消耗直接阻止后续有效请求。外部攻击面暴露:Webhook路由注册使用 。 POC代码 证据日志 运行时证据日志: 验证输出模式 (exploit): - - 验证输出模式 (control): - - 影响 这是一个外部可触发的拒绝服务条件,针对飞书Webhook摄取。攻击者不需要有效的签名材料来造成损害:他们只需要网络访问Webhook端点,并能够发送重复的格式错误的签名请求。影响包括丢弃/阻止合法的Webhook事件、延迟的机器人工作流,以及消息驱动自动化的可靠性下降。