漏洞概述 漏洞名称: 漏洞描述: 在 函数中,调用 获取路径时,未检查返回值就直接断言路径存在。当调用者(例如 NMF 订阅)提供一个缺少路径组件的 URI(如 而非 )时, 返回 且 为 。随后的 会导致进程中止,从而引发拒绝服务(DoS)攻击。 影响范围 受影响组件: 攻击类型: 拒绝服务 (Denial-of-Service) 触发条件: 攻击者可以向 NMF 订阅等接口发送包含无效 URI(缺少路径)的请求。 修复方案 修复方式: 将未检查的断言转换为优雅的错误返回。 具体逻辑: 1. 检查 的返回值。 2. 如果返回 ,记录错误日志 "Cannot extract path from URI"。 3. 释放本地分配的 资源。 4. 返回 给调用者(所有现有的调用点都会检查返回值)。 POC/利用代码