关键信息 漏洞名称 Denial of Service via unbounded memory usage in AdonisJS multipart parsing 影响版本 修复版本 描述 总结: - 存在一个拒绝服务(DoS)漏洞(CWE-400),在处理文件上传时,multipart解析器可能在尝试检测文件类型时在内存中累积无界数据,导致内存消耗过大和进程终止。 详情: - AdonisJS使用 解析 请求。在文件上传过程中,multipart解析器尝试通过累积传入的块来检测上传文件的类型。 - 内部缓冲区没有强制执行最大大小,也没有受超时或提前终止条件的保护。 影响: - 利用这个漏洞需要一个接受multipart文件上传的可访问端点。 - 攻击者可以发送一个包含大量或无界数据流的特别制作的multipart请求,该数据流不匹配任何已知文件签名,可能导致服务器不断分配内存,直到Node.js进程耗尽可用RAM并因内存耗尽而终止。 修复措施: - 用户应升级到包含以下修复的版本: - v10.1.3 - v11.0.0-next.9 漏洞严重性 CVSS v3 基础指标: - 严重性: 高 (7.5/10) - 攻击向量: 网络 - 攻击复杂性: 低 - 需要权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性: 无 - 完整性: 无 - 可用性: 高 CVE ID: CVE-2026-25762 弱点: - CWE-400 - CWE-770 报告者 ZeroXJacks