calibre is a cross-platform e-book manager for viewing, converting, editing, and cataloging e-books. Prior to version 9.4.0, the calibre Content Server's brute-force protection mechanism uses a ban key derived from both `remote_addr` and the `X-Forwarded-For` header. Since the `X-Forwarded-For` header is read directly from the HTTP request without any validation or trusted-proxy configuration, an attacker can bypass IP-based bans by simply changing or adding this header, rendering the brute-force protection completely ineffective. This is particularly dangerous for calibre servers exposed to the internet, where brute-force protection is the primary defense against credential stuffing and password guessing attacks. Version 9.4.0 contains a fix for the issue.
Calibre Content Server versions prior to 9.4.0 have a brute-force protection bypass vulnerability where attackers can manipulate the X-Forwarded-For header to circumvent IP-based bans. This allows credential stuffing and password guessing attacks against exposed calibre servers.
يستخدم خادم محتوى Calibre مفتاح الحظر المشتق من عنوان IP البعيد ورأس X-Forwarded-For دون التحقق من صحة الرأس أو تكوين الوكيل الموثوق. يمكن للمهاجمين تغيير أو إضافة هذا الرأس لتجاوز حماية القوة الغاشمة بسهولة، مما يجعل الخادم عرضة لهجمات حشو بيانات الاعتماد.
خادم محتوى Calibre الإصدارات السابقة للإصدار 9.4.0 تحتوي على ثغرة تجاوز حماية القوة الغاشمة حيث يمكن للمهاجمين التلاعب برأس X-Forwarded-For لتجاوز الحظر القائم على عنوان IP. يسمح هذا بهجمات حشو بيانات الاعتماد والتخمين على كلمات المرور ضد خوادم Calibre المكشوفة.
Update calibre to version 9.4.0 or later immediately. Implement trusted proxy configuration to validate X-Forwarded-For headers only from known proxy servers. Deploy rate limiting at the reverse proxy or WAF level. Monitor authentication logs for suspicious brute-force patterns. Consider implementing CAPTCHA or account lockout mechanisms.
قم بتحديث Calibre إلى الإصدار 9.4.0 أو أحدث على الفور. قم بتنفيذ تكوين الوكيل الموثوق للتحقق من رؤوس X-Forwarded-For فقط من خوادم الوكيل المعروفة. نشر تحديد معدل على مستوى الوكيل العكسي أو WAF. مراقبة سجلات المصادقة للأنماط المريبة للقوة الغاشمة. فكر في تنفيذ آليات CAPTCHA أو قفل الحساب.