关键信息 漏洞概述 漏洞名称: Divide by Zero DoS 严重性: 高 (7.5/10) CVE ID: CVE-2025-54581 CWE: CWE-369 (除以零) 影响的包和版本 包: vproxy (Rust) 受影响版本: <= 2.3.3 修复版本: 无 描述 摘要: 来自HTTP Proxy-Authorization头的不受信任的用户控制数据可以导致服务拒绝状态。 详细信息: 不受信任的数据从用户控制的HTTP Proxy-Authorization头中提取,并传递给 ,然后流入 ,在那里它被解析为TTL值。如果攻击者提供一个TTL值为零(例如,通过使用用户名如 ),模运算 将导致除以零的恐慌,导致服务器崩溃并造成服务拒绝。 代码片段 PoC (概念验证) 1. 下载并运行最新版本的vproxy。 2. 发送一个cUrl请求,调整地址和端口: 3. 等待cUrl错误提示“Proxy CONNECT aborted”。 4. 查看vproxy服务器的日志。 5. 观察到vproxy服务器由于除以零的恐慌而崩溃。 影响 服务器崩溃使代理服务器在重置之前无法使用。