【中危漏洞】CVE-2025-69198:Pterodactyl 资源配额绕过导致拒绝服务风险
漏洞概述
Pterodactyl 是一个开源的游戏服务器管理面板,用于管理游戏服务器的资源分配。在受影响版本中,由于资源配额验证机制存在竞态条件(Race Condition),攻击者可通过并发请求绕过系统设定的资源限制(如数据库、端口分配或备份数量),从而超额创建资源,造成节点资源耗尽或备份空间被迅速填满,影响其他用户的正常使用。
漏洞详情
- CVE 编号:CVE-2025-69198
- 漏洞类型:资源配额绕过(CWE-400:未加控制的资源消耗;CWE-413:缺乏资源锁定)
- CVSS 评分:6.0(MEDIUM,CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VA:H/SA:L)
- 影响版本:Pterodactyl Panel 1.12.0 之前的所有版本
影响范围
所有使用 Pterodactyl Panel 版本低于 1.12.0 的部署环境均受此漏洞影响。该漏洞主要影响多租户或共享节点的托管场景,恶意用户可利用此漏洞超额占用系统资源,影响其他用户的服务可用性。
风险分析
攻击者在拥有低权限账户(如普通用户)的前提下,无需用户交互即可通过发送大量并发请求,绕过资源配额限制。这可能导致以下后果:
- 节点上的端口、数据库或备份资源被超额创建,超出系统配置上限;
- 磁盘空间或网络端口等关键资源被耗尽,引发拒绝服务(DoS);
- 影响同一节点上其他用户的正常服务运行,破坏平台公平性与稳定性。
修复建议
- 立即升级 Pterodactyl Panel 至 1.12.0 或更高版本,该版本已修复资源验证过程中的竞态条件问题;
- 若暂时无法升级,建议在反向代理层(如 Nginx)实施请求速率限制,降低并发请求冲击;同时监控异常资源创建行为,及时干预可疑账户。
