漏洞概述 漏洞编号:CVE-2026-12993 漏洞类型:XML实体扩展拒绝服务(Denial of Service) 描述:在Apicurio Registry的XML解析基础设施中发现了一个漏洞。 正确设置了 和 (阻止外部实体获取,因此没有XXE或SSRF),但没有设置 或 。 影响范围 受影响文件: - - 攻击方式:攻击者可以通过上传包含内部实体扩展有效载荷的XML文档,导致指数级的内存和CPU消耗。虽然JAAP默认 为64,000实体,但重复的并行上传仍可能耗尽注册表pod的CPU和堆,导致服务降级。 严重程度:中等 修复方案 修复代码: 建议措施: - 添加 - 添加 - 在 中, 代替吞下属性拒绝时的异常。 POC代码 其他信息 报告日期:2026-06-23 12:18 UTC by OSDB Ezreport 修改日期:2026-06-25 08:27 UTC CC列表:6 users 环境:未指定 最后关闭:未指定 Embargoed:未指定 备注 需要登录才能评论或对此漏洞进行更改。