https://blog.qife122.com/tags/cve-2025-55128/ Recent content in CVE-2025-55128 on 办公AI智能小助手 Hugo zh-cn qife Sat, 06 Dec 2025 09:07:30 +0800 https://blog.qife122.com/p/revive-adserver-%E6%97%A5%E5%BF%97%E6%9F%A5%E7%9C%8B%E5%99%A8%E5%88%86%E9%A1%B5%E5%8F%82%E6%95%B0%E6%BC%8F%E6%B4%9E%E6%97%A0%E9%99%90%E5%88%B6setperpage%E5%AF%BC%E8%87%B4%E8%B5%84%E6%BA%90%E8%80%97%E5%B0%BD%E4%B8%8E%E6%95%B0%E6%8D%AE%E6%B3%84%E9%9C%B2/ Sat, 06 Dec 2025 09:07:30 +0800 https://blog.qife122.com/p/revive-adserver-%E6%97%A5%E5%BF%97%E6%9F%A5%E7%9C%8B%E5%99%A8%E5%88%86%E9%A1%B5%E5%8F%82%E6%95%B0%E6%BC%8F%E6%B4%9E%E6%97%A0%E9%99%90%E5%88%B6setperpage%E5%AF%BC%E8%87%B4%E8%B5%84%E6%BA%90%E8%80%97%E5%B0%BD%E4%B8%8E%E6%95%B0%E6%8D%AE%E6%B3%84%E9%9C%B2/ <h3 id="漏洞报告-3413890无限制-setperpage-参数导致巨大结果集--资源耗尽--批量日志获取">漏洞报告 #3413890：无限制 setPerPage 参数导致巨大结果集 / 资源耗尽 / 批量日志获取</h3> <p><strong>报告人</strong>: vidang04 <strong>提交时间</strong>: 2025年11月6日 上午8:45 (UTC) <strong>报告至</strong>: Revive Adserver</p> <h4 id="描述">描述</h4> <p><code>setPerPage</code> 查询参数用于控制日志查看器的分页，但在服务器端未经过验证或限制。攻击者可以提供一个极大的数值（例如 <code>setPerPage=100000000000000000</code>），应用程序在构建结果集时会尝试满足此值。此行为可能导致数据库负载过重、响应数据庞大、应用程序变慢，并可能实现日志条目的批量获取。</p>