关键信息 漏洞概述 CVE编号: CVE-2023-4653 漏洞类型: Regular Expression Denial of Service (ReDoS) 严重性: Medium (5.3) 影响组件 受影响组件: 版本: 4.4.0-rc1 技术细节 易受攻击的函数: 问题模式: 攻击向量: Maliciously crafted configuration file names 再现步骤 1. 安装依赖: 2. 运行代码: 示例输出 随着输入长度增加,执行时间呈非线性增长。 影响 模型服务中断: 处理恶意配置路径时,模型服务可能变得无响应。 资源耗尽: 攻击者可注入恶意配置名,导致训练管道中断和GPU资源浪费。 下游影响: 应用程序可能会经历延迟增加,自动扩展系统可能因感知到高资源使用而不必要的扩展。 参考资料 相似报告 #3 相似报告 #7 如何修复 ReDoS 相似报告 #2 ReDoS OWASP