目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-409 对高度压缩数据的处理不恰当(数据放大攻击) 类漏洞列表 39

CWE-409 对高度压缩数据的处理不恰当(数据放大攻击) 类弱点 39 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-409 属于数据压缩处理不当漏洞,特指程序未能正确应对高压缩比输入导致输出数据急剧膨胀的情况。攻击者常利用“解压缩炸弹”,即发送极小的压缩文件,在解压时消耗大量内存或磁盘空间,从而引发拒绝服务。开发者应实施解压大小限制、设置超时机制及监控资源使用,以有效防御此类数据放大攻击。

MITRE CWE 官方描述
CWE:CWE-409 对高度压缩数据(Data Amplification)处理不当 英文:产品未处理或错误处理具有高压缩比且会产生大量输出的压缩输入。 数据放大(Data Amplification)的一个示例是“解压炸弹”(decompression bomb),即一个小的 ZIP 文件在解压时可能产生大量数据。
常见影响 (1)
AvailabilityDoS: Amplification, DoS: Crash, Exit, or Restart, DoS: Resource Consumption (CPU), DoS: Resource Consumption (Memory)
System resources, CPU and memory, can be quickly consumed. This can lead to poor system performance or system crash.
代码示例 (1)
The DTD and the very brief XML below illustrate what is meant by an XML bomb. The ZERO entity contains one character, the letter A. The choice of entity name ZERO is being used to indicate length equivalent to that exponent on two, that is, the length of ZERO is 2^0. Similarly, ONE refers to ZERO twice, therefore the XML parser will expand ONE to a length of 2, or 2^1. Ultimately, we reach entity …
<?xml version="1.0"?> <!DOCTYPE MaliciousDTD [ <!ENTITY ZERO "A"> <!ENTITY ONE "&ZERO;&ZERO;"> <!ENTITY TWO "&ONE;&ONE;"> ... <!ENTITY THIRTYTWO "&THIRTYONE;&THIRTYONE;"> ]> <data>&THIRTYTWO;</data>
Attack · XML
CVE ID标题CVSS风险等级Published
CVE-2026-27460 Tandoor Recipes 安全漏洞 — recipes 6.5 Medium2026-04-10
CVE-2026-40148 PraisonAI 安全漏洞 — PraisonAI 6.5 Medium2026-04-09
CVE-2026-39373 JWCrypto 安全漏洞 — jwcrypto 5.3 Medium2026-04-07
CVE-2026-3114 Mattermost 安全漏洞 — Mattermost 6.5 Medium2026-03-26
CVE-2026-32044 OpenClaw 安全漏洞 — OpenClaw 5.5 Medium2026-03-21
CVE-2026-2575 Keycloak 安全漏洞 — Red Hat build of Keycloak 26.4 5.3 Medium2026-03-18
CVE-2026-32630 file type 安全漏洞 — file-type 5.3 Medium2026-03-13
CVE-2026-23943 Erlang/OTP 安全漏洞 — OTP 7.5 -2026-03-13
CVE-2026-1526 undici 安全漏洞 — undici 7.5 High2026-03-12
CVE-2026-25962 MarkUs 安全漏洞 — Markus 6.5 Medium2026-03-06
CVE-2026-27809 psd-tools 安全漏洞 — psd-tools 6.5AIMediumAI2026-02-25
CVE-2026-27571 Nats-Server 安全漏洞 — nats-server 5.9 Medium2026-02-24
CVE-2026-22870 GuardDog 安全漏洞 — guarddog 7.5AIHighAI2026-01-13
CVE-2026-22776 cpp-httplib 安全漏洞 — cpp-httplib 7.5AIHighAI2026-01-12
CVE-2026-21441 urllib3 安全漏洞 — urllib3 7.5 -2026-01-07
CVE-2025-69223 aiohttp 安全漏洞 — aiohttp 7.5 High2026-01-05
CVE-2025-66471 urllib3 安全漏洞 — urllib3 9.8 -2025-12-05
CVE-2025-62708 pypdf 安全漏洞 — pypdf 4.3 -2025-10-22
CVE-2025-58057 Netty 安全漏洞 — netty 7.5AIHighAI2025-09-03
CVE-2025-46730 Mobile Security Framework 安全漏洞 — Mobile-Security-Framework-MobSF 6.8 Medium2025-05-05
CVE-2024-55909 IBM Concert 安全漏洞 — Concert Software 6.5 Medium2025-05-02
CVE-2025-32949 PeerTube 安全漏洞 6.5 Medium2025-04-15
CVE-2025-0986 IBM PowerVM Hypervisor 安全漏洞 — PowerVM Hypervisor 4.5 Medium2025-03-28
CVE-2024-12387 GPT Academic 安全漏洞 — binary-husky/gpt_academic 7.5 -2025-03-20
CVE-2024-12886 Ollama 资源管理错误漏洞 — ollama/ollama 7.5 -2025-03-20
CVE-2024-7765 H2O 安全漏洞 — h2oai/h2o-3 7.5 -2025-03-20
CVE-2024-54016 Apache Seata 安全漏洞 — Apache Seata (incubating) 9.1 -2025-03-20
CVE-2025-30153 kin-openapi 安全漏洞 — kin-openapi 7.5 High2025-03-19
CVE-2024-54682 Mattermost 安全漏洞 — Mattermost 6.5 Medium2024-12-16
CVE-2024-43499 Microsoft Visual Studio和Microsoft .NET 安全漏洞 — Microsoft Visual Studio 2022 version 17.6 7.5 High2024-11-12

CWE-409(对高度压缩数据的处理不恰当(数据放大攻击)) 是常见的弱点类别,本平台收录该类弱点关联的 39 条 CVE 漏洞。