【高危漏洞】CVE-2025-69199：Pterodactyl Wings WebSocket 缺乏速率限制导致拒绝服务

漏洞概述

CVE-2025-69199 是一个影响 Pterodactyl 游戏服务器管理面板配套组件 Wings 的高危安全漏洞。Wings 作为 Pterodactyl 的服务器控制平面，在 1.12.0 版本之前，其 WebSocket 实现缺乏有效的速率限制与消息大小限制机制。攻击者可利用该缺陷发起拒绝服务（DoS）攻击，通过大量连接和巨型消息耗尽主机的网络带宽、CPU 和内存资源。

漏洞详情

• CVE 编号：CVE-2025-69199
• 漏洞类型：CWE-400（资源耗尽）、CWE-770（未加限制的资源分配）
• CVSS 评分：8.3（HIGH，高危）
• 影响版本：Pterodactyl Wings 低于 1.12.0 的所有版本

影响范围

该漏洞影响所有使用 Pterodactyl Wings 组件且版本低于 1.12.0 的部署环境。Pterodactyl 是广泛用于游戏服务器托管的开源管理平台，Wings 负责与主控面板通信并管理服务器实例，因此任何暴露 WebSocket 接口的 Wings 实例均可能成为攻击目标。

风险分析

由于漏洞允许低权限用户（PR:L）通过网络（AV:N）在无需用户交互（UI:N）的情况下发起攻击，攻击者可轻易建立大量 WebSocket 连接，并发送超大体积的消息，从而导致系统资源（CPU、内存、网络带宽）被迅速耗尽，最终造成服务不可用。该漏洞主要影响系统的可用性（VA:H, SA:H），虽不直接导致数据泄露或远程代码执行，但可对业务连续性构成严重威胁。

修复建议

• 立即升级 Pterodactyl Wings 至 1.12.0 或更高版本，该版本已修复 WebSocket 速率限制和消息大小限制问题。
• 若暂时无法升级，建议在网络层（如防火墙或反向代理）对 Wings 的 WebSocket 端点实施连接数和流量速率限制，以缓解潜在攻击。

参考链接

• GitHub 安全公告 GHSA-8w7m-w749-rx98
• NVD – CVE-2025-69199