关键漏洞信息 漏洞概述 类型: 未控制的资源消耗(Uncontrolled Resource Consumption) 受影响版本: 3.2.9 < 修复版本: 3.3.0 CVE ID: CVE-2025-53530 严重性: Critical (CVSS v4 base metrics: 9.2/10) 漏洞详情 问题描述: WeGIA服务器存在一个漏洞,允许对特定URL发送过长的HTTP GET请求。该问题源于 参数长度验证不足。 测试结果: 服务器处理的URL长度可达8,142个字符,导致高资源消耗、延迟增加、超时和读取错误。 影响: 使服务器易受拒绝服务(DoS)攻击。 PoC (概念验证) 1. 执行以下HTTP GET请求重现问题: 2. 使用 工具模拟高负载攻击: 测试结果 1分钟内处理了20,180个请求。 发生719次超时和134次读取错误,表明服务器难以应对负载。 平均延迟为249.77ms,峰值达到2秒。 服务器尝试处理负载但表现出显著的资源耗尽,确认其易受DoS攻击。 影响 风险分类: 拒绝服务(DoS) 潜在后果: - 极大减慢或中断服务。 - 在协调或分布式攻击中耗尽服务器资源(如CPU和内存)。 - 直接影响用户体验和应用可用性。 特别警告: 在关键环境中使用WeGIA的组织尤其容易受到此问题的影响,直接威胁系统可用性。