漏洞关键信息 漏洞标题 - Unbounded decompression chain in HTTP responses via Content-Encoding leads to resource exhaustion 漏洞严重性 - 低 CVE ID - CVE-2026-22036 影响的版本 - 7.0.0 < 7.18.2 修复版本 - 7.18.2 - 6.23.0 CVSS v3 base metrics - 严重性:3.7 / 10 - 攻击向量: 网络 - 攻击复杂性: 高 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性影响: 无 - 完整性影响: 无 - 可用性影响: 低 漏洞描述 - API支持RFC 9110(如:Content-Encoding: gzip, br)定义的HTTP编码链算法。undici decompress拦截器也支持该算法。 - 但是,解压缩链中的链接数量是无界的,而默认的maxHeaderSize设置允许恶意服务器插入数千个压缩步骤,导致高CPU使用率和过度内存分配。 修复措施 - 升级至7.18.2或6.23.0。 变通方法 - 可以手动应用undici拦截器并过滤长 序列。 引用 - HackerOne报告 - GHSA报告 - curl文档