漏洞总结:Uncontrolled Resource Consumption leading to Sandbox Exhaustion 漏洞概述 漏洞名称:Uncontrolled Resource Consumption leading to Sandbox Exhaustion CVE ID:CVE-2024-42143 严重程度:Moderate 漏洞类型:CWE-400 (Uncontrolled Resource Consumption) 和 CWE-770 (Allocation of Resources Without Limits) 描述: 组件由于资源隔离不足和不受控的资源消耗(CWE-400)存在漏洞。该服务仅依赖应用级别的软限制(500ms 轮询间隔)进行内存管理,缺乏严格的操作系统级约束(如 cgroups 或内核级命名空间)。这种架构弱点允许攻击者通过时间窗口攻击耗尽整个 JavaScript worker 池,导致合法用户的拒绝服务(DoS)。 影响范围 受影响版本: 受影响包: 影响用户:所有依赖 服务的用户和实例。 后果: - 可用性:攻击者可以通过占用 worker 池或运行 CPU 密集型操作(例如,60 秒的 busy loop)导致服务降级或暂时中断。合法的工作流执行将被延迟或失败。 - 财务影响:在云环境中,不受控的资源消耗可能导致意外的基础设施成本。 修复方案 修复版本:None(截至截图时间) POC 代码 1. Memory Spike Attack (Bypassing the 500ms interval) 2. Worker Pool Exhaustion (DoS)