关键信息 漏洞概述 漏洞类型: JWE zip=DEF decompression bomb enables DoS CVE ID: CVE-2025-62706 CVSS v3.1 评分: 6.5/10 (中等) 影响范围 受影响版本: 1.6.4 修复版本: 1.6.5 漏洞描述 组件: Authlib JOSE JWE zip=DEF (DEFLATE) 支持 问题: Authlib 的 JWE zip=DEF 路径执行无界 DEFLATE 解压缩。非常小的密文在解密时可以扩展成几兆字节,允许攻击者通过提供可解密的令牌来耗尽内存和 CPU,导致服务拒绝。 技术细节 受影响文件: - - 关键代码: PoC (概念验证) 环境: Python 3.10+ 步骤: 1. 创建虚拟环境并安装 Authlib。 2. 运行 PoC 脚本。 样本输出 展示了内存和 CPU 使用率的显著增加。 影响 效果: 服务拒绝(内存/CPU 穷尽) 受影响对象: 使用 Authlib 解密 JWE 令牌的服务 缓解措施 临时解决方案: - 拒绝或剥离 zip=DEF 对于传入的 JWEs 直到有修复可用。 - 添加一个有界的解压缩保护。 修复建议: - 镜像 的方法:添加保守的最大输出大小限制,并在超出时抛出特定错误。