关键漏洞信息 漏洞概述 名称: Client DoS via malformed server response ID: GHSA-846p-jg2w-w324 严重性: Moderate (5.9/10) CVE ID: CVE-2026-23991 影响 受影响的版本: = v2.3.1 影响: 客户端在接收到并解析损坏的TUF元数据时会崩溃,导致长期运行的服务进入重启/崩溃循环。 漏洞详情 描述: 如果TUF仓库(或其任何镜像)返回无效的TUF元数据JSON(有效的JSON但不是格式良好的TUF元数据),客户端将在解析过程中宕机,导致DoS。在任何签名被验证之前会发生宕机。这意味着一个被攻破的仓库/镜像/缓存可以在没有访问任何签名密钥的情况下对客户端进行DoS攻击。 受影响的代码: 函数没有正确地类型断言(不可信的)输入,导致在损坏的数据上发生宕机。 漏洞指标 CVSS v3 基本指标 - 攻击向量: Network - 攻击复杂度: High - 所需权限: None - 用户交互: None - 范围: Unchanged - 机密性: None - 完整性: None - 可用性: High 弱点: CWE-617, CWE-754 技术细节 CWE ID: CWE-617, CWE-754 修复措施: 第三方库升级至v2.3.1或更高版本。 人员 报告人: 1seal 修复开发者: kommendorkapten 修复审查人: rdimitrov