关键漏洞信息 漏洞概述 类型: Uncontrolled Resource Consumption 受影响版本: 3.2.9 < 修复版本: 3.3.0 严重性: Critical (CVSS v4 base metrics: 9.2/10) 漏洞描述 WeGIA服务器存在一个漏洞,允许对特定URL发送过长的HTTP GET请求。该问题源于 参数长度验证不足。测试确认服务器处理长达8,142个字符的URL,导致高资源消耗、延迟增加、超时和读取错误,使服务器易受拒绝服务(DoS)攻击。 细节 漏洞在以下URL中被识别: - URL接受用 连接的参数,允许攻击者添加最多8,142个字符的数据。 服务器未对总URL长度或处理的参数数量进行验证。 测试期间,URL通过重复参数(如 )扩展,导致资源耗尽和服务器不稳定。 PoC 1. 执行以下HTTP GET请求重现问题: 2. 使用 工具模拟高负载攻击: 影响 此漏洞被归类为拒绝服务(DoS)风险,可能被利用来: 严重减慢或中断服务。 在协调或分布式攻击中耗尽服务器资源,如CPU和内存。 直接影响用户体验和应用程序的可用性。 在关键环境中使用WeGIA的组织特别容易受到此问题的影响,这对系统的可用性构成直接威胁。