关键漏洞信息 漏洞概述 标题: Potential Denial of Service when processing malicious unauthenticated JSON requests 严重性: High (7.5/10) CVE ID: CVE-2025-59043 CWE: CWE-400 影响版本与修复版本 受影响版本: < 2.4.0 已修复版本: 2.4.1 描述 摘要: - JSON对象在解码后可能使用比其序列化版本更多的内存。 - 攻击者可以通过构造特定的JSON对象来绕过 配置参数,导致拒绝服务攻击,并且使攻击变得更加容易。 详细信息: - 请求体被解析为 。 - 在请求处理链的早期阶段(在身份验证之前),攻击者可以发送特制的JSON对象,导致OOM崩溃。 - 对于包含大量字符串的简单请求,审计子系统会消耗大量CPU资源。 缓解措施: - 设置 和 。 影响 未认证的拒绝服务 参考链接 HashiCorp讨论 NVD漏洞详情 其他信息 CVSS v3 基础指标: - 攻击向量: Network - 攻击复杂度: Low - 所需权限: None - 用户交互: None - 范围: Unchanged - 机密性影响: None - 完整性影响: None - 可用性影响: High