漏洞总结 漏洞概述 在 项目中, 和 端点允许用户指定 参数(即输出序列的数量)。如果攻击者将 参数设置为极大的值,会导致服务器资源(内存、CPU、GPU时间)被耗尽,从而引发拒绝服务(DoS)攻击。此提交修复了该漏洞,强制限制了 参数的最大值。 影响范围 受影响端点: 和 。 受影响参数: (number of outputs)。 涉及文件: , , , , 。 修复方案 1. 引入环境变量限制: 新增环境变量 ,默认上限设置为 。 2. 代码验证逻辑: 在 的 类中增加验证逻辑。如果传入的 值超过 设定的限制,将抛出 异常。 3. 文档更新: 在 中增加了关于请求参数资源限制的说明,建议公共部署设置合理的 值。 相关代码 (POC/测试逻辑) 以下是截图中提取的关键代码块,展示了验证逻辑及测试用例: 1. 核心验证逻辑 ( ) 2. 测试用例 ( )** 这些测试用例展示了如何构造请求以触发限制(即利用方式):