漏洞概述 标题: UDR fail-open request handling in PolicyDataSubsToNotifyPost may allow unintended subscription creation after input errors 描述: 问题: 在 处理函数中,即使 HTTP 请求体读取或反序列化失败,该处理函数仍会继续处理请求。 原因: 处理函数在遇到输入处理失败时没有终止执行,而是继续调用下游处理器。 影响: 可能导致创建无效、空或部分处理的 Policy Data 通知订阅。 影响范围 受影响版本: 修复版本: 无(None) 严重程度: 中等(Moderate) CVE ID: CVE-2026-40343 弱点: CWE-754 修复方案 补丁: 处理函数应在发送错误响应后立即终止执行。 具体修复: 在 函数中添加 语句,确保在读取或反序列化失败时不再继续处理。 POC 代码 其他信息 技术原因: 该漏洞与 CVE-2026-40249 不同,因为涉及不同的 HTTP 端点、处理函数、处理器过程和代码行。 差异: 该漏洞涉及创建新的订阅,而 CVE-2026-40249 涉及更新现有订阅。