CVE-2025-64526

Published: Mag 14, 2026 Last Modified: Mag 16, 2026

ExploitDB:

Other exploit source:

Google Dorks:

MEDIUM 6,9

Source: [email protected]

Attack Vector: network

Attack Complexity: low

Privileges Required: none

User Interaction: none

Confidentiality: N/A

Integrity: N/A

Availability: N/A

MEDIUM 5,3

Source: [email protected]

Attack Vector: network

Attack Complexity: low

Privileges Required: none

User Interaction: none

Scope: unchanged

Confidentiality: none

Integrity: none

Availability: low

Description

AI Translation Available

Strapi is an open source headless content management system. In Strapi versions prior to 5.45.0, the rate-limit middleware in the users-permissions plugin derived its rate-limit key in part from `ctx.request.body.email`, including on routes whose body schema does not contain an `email` field (`/auth/local`, `/auth/reset-password`, `/auth/change-password`). An unauthenticated attacker could include an arbitrary `email` value in the request body to obtain a fresh rate-limit key per request, effectively bypassing per-IP throttling on those routes and enabling high-volume credential brute-force, password-reset code brute-force, and credential-stuffing attempts. The rate-limit key was constructed as `${userIdentifier}:${requestPath}:${ctx.request.ip}`, where `userIdentifier = ctx.request.body.email`. On routes that legitimately use email as their identifier (e.g. `/auth/forgot-password`, `/auth/local/register`), this scoping is correct. On routes that use a different identifier (`identifier` for login, `code` for password reset, `currentPassword` for password change), the email field was not part of the route contract, but the middleware still incorporated it into the key, allowing a caller to rotate the value and obtain a unique key on every request. The patch in version 5.45.0 maintains an allow-list of routes that legitimately key on the email field and excludes that key component on every other route the middleware is mounted on. OAuth callback paths (`/connect/*`) are treated identifier-less. On routes outside the allow-list, the middleware now falls back to a fixed identifier-less key, ensuring per-IP throttling remains effective even when the request body is attacker-controlled.

AI Generated Translation

Strapi è un sistema di gestione dei contenuti headless open source. Nelle versioni di Strapi precedenti alla 5.45.0, il middleware di rate-limit nel plugin users-permissions derivava la sua chiave di limitazione della frequenza in parte da `ctx.request.body.email`, anche su route il cui schema del corpo non contiene un campo `email` (`/auth/local`, `/auth/reset-password`, `/auth/change-password`). Un attaccante non autenticato poteva includere un valore `email` arbitrario nel corpo della richiesta per ottenere una nuova chiave di limitazione della frequenza per ogni richiesta, bypassando efficacemente il throttling per IP su quelle route e consentendo tentativi di brute-force ad alto volume di credenziali, brute-force di codici di reset password e attacchi di credential-stuffing. La chiave di rate-limit veniva costruita come `${userIdentifier}:${requestPath}:${ctx.request.ip}`, dove `userIdentifier = ctx.request.body.email`. Su route che usano legittimamente l’email come identificatore (ad esempio `/auth/forgot-password`, `/auth/local/register`), questa delimitazione è corretta. Su route che usano un identificatore diverso (`identifier` per login, `code` per reset password, `currentPassword` per cambio password), il campo email non faceva parte del contratto della route, ma il middleware lo incorporava comunque nella chiave, permettendo a un chiamante di ruotare il valore e ottenere una chiave unica ad ogni richiesta. La patch in versione 5.45.0 mantiene una lista di route consentite che usano legittimamente il campo email come chiave e esclude quella componente di chiave su tutte le altre route su cui è montato il middleware. I percorsi di callback OAuth (`/connect/*`) sono trattati senza identificatore. Su route al di fuori della lista consentita, il middleware ora ricorre a una chiave fissa senza identificatore, garantendo che il throttling per IP rimanga efficace anche quando il corpo della richiesta è controllato dall’attaccante.

EPSS (Exploit Prediction Scoring System)

Trend Analysis

EPSS (Exploit Prediction Scoring System)

Prevede la probabilità di sfruttamento basata su intelligence sulle minacce e sulle caratteristiche della vulnerabilità.

EPSS Score

0,0004

Percentile

0,1th

Updated

EPSS Score Trend (Last 6 Days)

307

Improper Restriction of Excessive Authentication Attempts

Draft

Abstraction: Base Structure: Simple

Common Consequences

Security Scopes Affected:

Access Control

Potential Impacts:

Bypass Protection Mechanism

Applicable Platforms

All platforms may be affected

View CWE Details

Application

Strapi by Strapi

Product Information

Vendor Strapi

Product Strapi

Version Range Affected

To 5.45.0 (exclusive)

CPE Identifier

View Detailed Analysis


                  cpe:2.3:a:strapi:strapi:*:*:*:*:*:node.js:*:*

Common Platform Enumeration - Standardized vulnerability identification

https://github.com/strapi/strapi/commit/5e0d243cba9830e6f79…

https://github.com/strapi/strapi/commit/5e0d243cba9830e6f791de6a94798bcde51468db

https://github.com/strapi/strapi/pull/24818

https://github.com/strapi/strapi/releases/tag/v5.45.0

https://github.com/strapi/strapi/security/advisories/GHSA-7…

https://github.com/strapi/strapi/security/advisories/GHSA-7mqx-wwh4-f9fw

CVE-2025-64526

Description

EPSS (Exploit Prediction Scoring System)

EPSS (Exploit Prediction Scoring System)

EPSS Score Trend (Last 6 Days)

Improper Restriction of Excessive Authentication Attempts

Common Consequences

Applicable Platforms

Strapi by Strapi

Product Information

Iscriviti alla newsletter