mtons MBLOG过度身份验证漏洞CVE-2025-8927

mtons MBLOG是一款基于Java语言开发的开源多人博客系统，该开源博客系统采用MySQL数据库并且支持PC、移动端和Pad多端访问。

一、基本情况

mblog（mtons MBLOG）开源博客系统是个简单、大气、美观、支持多端（PC,Mobile,Pad）访问的多人博客系统， 采用Java语言开发。

mtons MBLOG基于MySQL数据库，其核心功能包括文章、图片、视频发布，具有性能优异、简单实用、安全稳定、支持全文检索的特点。

栋科技漏洞库关注到在3.5.0之前的mtons MBLOG中存在一个安全漏洞，该漏洞现已被追踪为CVE-2025-8927，漏洞CVSS 4.0评分为6.3。

二、漏洞分析

CVE-2025-8927漏洞是位于mtons MBLOG版本3.5.0中的安全漏洞，漏洞源于对论证电子邮件的操纵导致对过度身份验证尝试的不当限制。

受漏洞影响的是组件验证代码处理程序的文件/email/send_code的一些未知功能，漏洞可能被远程发起，漏洞已向公众披露，可能被使用。

漏洞源于组件验证代码处理程序文件/email/send_code端点用于向注册用户的电子邮件地址发送验证码，没有速率限制，没有验证码保护。

这就意味着，攻击者能够利用该漏洞实现暴力破解用户电子邮件地址。

三、影响范围

mtons MBLOG <= 3.5.0

四、修复建议

mtons MBLOG > 3.5.0

五、参考链接

管理员已设置登录后刷新可查看