漏洞关键信息 漏洞名称: rule bypass via fragmented or partial TLS ClientHello 漏洞级别: Moderate CVE ID: CVE-2026-24904 CVSS v3.1评分: 5.3/10 受影响版本 受影响版本: <0.9.115 已修复版本: 0.9.115 详细描述 在 中, 预读取1024字节并调用 . 如果 解析失败(例如,fragmented或不完整的ClientHello在TCP写入时分隔), 返回 。 在 中, 仅在 为 时评估 . 结果,当提取失败( )时,依赖于 匹配的任何规则将被跳过,评估落入后续规则。 修复在 中完成:解决在启用Anti-DPI或后量子密码学时,客户端随机前缀不匹配的问题。 影响 安全绕过(拒名单配置): 如果 用于阻止匹配特定ClientRandom前缀的连接,而允许其他连接,那么攻击者可以通过诱导ClientRandom提取失败来绕过阻塞,导致执行落入允许的规则中。 误报/过度阻塞(允名单配置): 如果 用于仅允许匹配的前缀,而后续规则阻止其他一切,那么提取失败将导致允许的规则被跳过,导致连接被阻止(合法流量的拒绝)。 致谢 发现者: Joshua Rogers of AISLE Research Team.