漏洞概述 漏洞名称: Decompression bomb bypass via negative max_length in streaming API (incomplete fix for CVE-2025-66471) in urllib3/urllib3 CVE编号: CVE-2026-6975 漏洞类型: CWE-400: Denial of Service 严重程度: High (7.5) 影响版本: 2.6.3 状态: Fixed 影响范围 攻击向量: Network 攻击复杂度: Low 特权要求: None 用户交互: None 范围: Unchanged 机密性: None 完整性: None 可用性: High 修复方案 修复人员: Illia Volochii 修复状态: Fixed Proof of Concept (POC) 输出 影响 一个恶意的HTTP服务器可以崩溃使用流式API的urllib3客户端,即使是在最新修补版本(urllib3 2.6.3 + Brotli 1.2.0)中。这违背了CVE-2025-66471的明确缓解措施。 使用 或 从不受信任源流式传输内容的MCP服务器、Web抓取器和API客户端容易受到远程DoS攻击。 现有的SSRF漏洞也可以被利用来触发OOM kills,从而攻击应用服务器。 Opus 4.6ExtendedClaude是AI,可能会犯错。请双重检查响应。 参考 CVE-2026-21441 — 重定向绕过相同修复 CVE-2025-66471 — 原始解压缩炸弹建议 Fix commit for CVE-2025-66471 — 引入了被绕过的max_length逻辑