CVE-2024-27983 — 神龙十问 AI 深度分析摘要

🚨 **本质**：HTTP/2 **Continuation Flood**（持续帧洪水攻击）。 💥 **后果**：攻击者发送少量 HTTP/2 帧即可让服务器 **完全不可用**（DoS），服务直接瘫痪。

🔍 **缺陷点**：Node.js 对 HTTP/2 协议中 **Continuation 帧** 的处理逻辑存在漏洞。 ⚠️ **CWE**：数据未提供具体 CWE ID，但属于协议处理缺陷导致的资源耗尽。

📦 **受影响组件**：**Node.js**。 📅 **受影响版本**：**18.x**, **20.x**, **21.x** 版本。 🏢 **厂商**：NodeJS。

🛑 **黑客能力**：仅限 **拒绝服务 (DoS)**。 🚫 **无法**：窃取数据、执行代码或获取权限。 🎯 **目标**：让服务器 **宕机/无响应**，造成业务中断。

📶 **利用门槛**：**低**。 🔑 **认证**：无需认证。 ⚙️ **配置**：需启用 **HTTP/2** 且 **未使用 SSL/TLS**（或配置不当）时易受攻击（见 PoC 说明）。

💻 **有现成 Exp**：**是**。 📂 **PoC 来源**：GitHub 仓库 `lirantal/CVE-2024-27983-nodejs-http2` 提供完整利用代码。 📝 **依据**：基于 HackerOne 报告 (ID: 2319584) 构建。

🔎 **自查特征**： 1. 运行 **Node.js 18/20/21** 版本。 2. 服务启用了 **HTTP/2** 协议。 3. 检查是否暴露无 SSL 保护的 HTTP/2 端点（PoC 显示无 SSL 更脆弱）。

🛡️ **官方修复**：数据中 **未提供** 具体的补丁版本或修复链接。 📢 **状态**：已公开披露（2024-04-09），建议立即查阅 Node.js 官方安全公告获取最新补丁。

🚧 **临时规避**： 1. **禁用 HTTP/2**：如果业务允许，暂时关闭 HTTP/2 支持。 2. **强制 SSL/TLS**：确保所有 HTTP/2 连接均使用加密（PoC 指出 `server.js` 因使用 SSL 而不受影响）。 3. **WAF 防护**：限制 HTTP/2 帧速率或丢弃异常 Continuation 帧。

⚡ **优先级**：**高**。 📉 **理由**：无需认证即可导致 **服务完全不可用**，且已有 **公开 PoC**。 🚀 **建议**：立即升级 Node.js 至安全版本，或实施上述临时缓解措施。