用户希望我总结网页截图中的漏洞信息。 我需要提取以下关键信息: 1. 漏洞概述 (Overview): 标题、描述、摘要。 2. 影响范围 (Impact/Scope): 受影响的软件、版本、CVSS评分、影响类型。 3. 修复方案 (Workaround/Mitigation): 页面中提到的缓解措施。 4. POC/Exploit: 检查是否有代码块。 详细分析截图内容: 标题: Allocation of Resources Without Limits or Throttling in wisp 产品: wisp (wisp) 受影响版本: 漏洞总结:Allocation of Resources Without Limits or Throttling in wisp 1. 漏洞概述 漏洞名称: Allocation of Resources Without Limits or Throttling in wisp (wisp 中资源分配无限制或节流漏洞) 描述: wisp 库中的 multipart parser 存在逻辑缺陷(具体位于 和 )。当解析器遇到没有边界(boundary)的异常数据时,无法正确计算剩余配额。这允许未经认证的攻击者发送任意大的 multipart body,绕过配置的请求大小限制( ),导致服务器内存或磁盘资源耗尽,从而触发拒绝服务(DoS)。 2. 影响范围 受影响软件: wisp 受影响版本: CVSS 评分: 8.7 / 10 (High - 高危) 受影响场景: 任何启用请求验证(使用 或 )且未使用自定义解析器的应用。 具体后果: 内存耗尽(表单字段数据累积在内存中)。 磁盘耗尽(文件上传数据累积在临时存储中)。 极端情况下导致应用不可用或操作系统崩溃。 3. 修复方案与缓解措施 修复: 升级 wisp 至 2.2.2 或更高版本(根据受影响版本推断)。 临时缓解 (Workaround): 在应用前端部署反向代理(如 nginx 或 HAProxy),并强制执行请求体(request body)大小限制。 注意:这可能会导致一些本应被拒绝的大型 multipart 请求被直接拒绝。 4. POC/利用代码 页面中未提供具体的 POC 代码块。