【高危漏洞】CVE-2026-21696:Pterodactyl Wings 活动日志处理拒绝服务漏洞
漏洞概述
Wings 是 Pterodactyl(一款免费开源的游戏服务器管理面板)的服务器控制平面组件。在版本 1.7.0 至 1.12.0(不含)之间,Wings 在处理活动日志条目时未考虑 SQLite 数据库的最大参数限制(32766),导致低权限用户可触发异常状态,使 Wings 不断向面板重复上传活动日志数据,最终可能导致面板数据库磁盘空间耗尽,造成拒绝服务。
漏洞详情
- CVE 编号:CVE-2026-21696
- 漏洞类型:CWE-400(资源耗尽)
- CVSS 评分:8.3(HIGH)
- 影响版本:Pterodactyl Wings 1.7.0 至 1.11.9
影响范围
所有使用 Pterodactyl Wings 版本在 1.7.0(含)至 1.12.0(不含)之间的部署环境均受影响。该漏洞存在于 Wings 组件中,用于处理活动日志并将其同步至 Pterodactyl 面板。攻击者只需拥有低权限账户即可触发此问题。
风险分析
攻击者可利用此漏洞构造大量活动日志条目,使 Wings 在尝试批量删除 SQLite 中的日志记录时因超出 SQLite 单次查询最大参数数量(32766)而失败。失败后,这些日志不会被删除,并在每次定时任务(cron)执行时被重复发送至面板。随着日志不断累积,面板数据库将迅速膨胀,最终耗尽磁盘空间,导致服务不可用,构成高危拒绝服务(DoS)风险。
修复建议
- 立即升级 Pterodactyl Wings 至 1.12.0 或更高版本,该版本已修复此问题。
- 如无法立即升级,可临时限制低权限用户生成大量活动日志的能力,或手动清理 Wings 的 SQLite 活动日志数据库(位于
/var/lib/pterodactyl/.sftp.json相关路径),并监控磁盘使用情况。
