FlashMQ 1.25.0: 配置依赖的远程拒绝服务漏洞 (CVE-2026-42209) 漏洞概述 FlashMQ 存在一个配置依赖的远程拒绝服务 (DoS) 漏洞,位于 函数中。当使用特定的最小触发配置时,远程客户端可以通过竞争保留消息的 PUBLISH 流量与保留消息的投递,导致 Broker 在评估取模运算时发生除以零错误,从而终止 Broker 进程。 触发条件: 设置为大于 0 的值。 设置为 0。 技术细节: 当 时,保留写入使用 路径。如果其他保留操作(如保留消息投递)持有保留树锁, 可能返回 ,导致执行落入延迟队列分支。配置解析器允许将 设置为 0。一旦到达延迟分支,Broker 会执行以下代码: 此时 为 0,从而触发除以零错误。 影响范围 影响: 拥有保留发布权限的远程客户端可以导致 FlashMQ Broker 崩溃,造成拒绝服务。 权限要求: 如果允许匿名保留发布,则不需要认证;否则,攻击者需要相应的发布权限。 默认配置: 默认配置不受影响(因为 默认为 0ms,且 默认为 100ms)。 修复建议: 修复应拒绝在配置解析期间将 设置为 0,或在执行取模运算前显式处理零值。 修复方案 版本: 修复已推送到 master 分支,并在 1.26.1 版本中发布。 CVE: CVE-2026-42209 POC 代码