一、 漏洞 CVE-2025-59043 基础信息
漏洞信息
                                        # OpenBao 恶意JSON拒绝服务漏洞

## 概述

OpenBao 是一个基于身份的开源密钥管理系统。在版本 2.4.1 之前,存在一个内存消耗漏洞,攻击者可利用该漏洞绕过请求大小限制,导致服务不可用。

## 影响版本

- 所有版本 < 2.4.1

## 漏洞细节

- JSON 对象在反序列化后可能占用比原始序列化形式多出数倍的内存。
- 攻击者可构造特定 JSON 负载,使内存使用比例达到约 35:1,类似于 zip bomb 攻击。
- 反序列化操作在请求处理链早期进行,**无需认证**即可触发。
- 漏洞允许攻击者绕过 `max_request_size` 配置限制,导致内存耗尽并引发崩溃。
- 在处理含有大量字符串的请求时,**审计子系统**可能导致高 CPU 消耗。

## 影响

- 未认证攻击者可发起 DoS 攻击,使服务崩溃。
- CPU 资源可能被大量消耗,影响系统性能和可用性。

## 修复版本

- 漏洞已在版本 **2.4.1** 中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
OpenBao vulnerable to denial of service via malicious JSON request processing
来源:美国国家漏洞数据库 NVD
漏洞描述信息
OpenBao is an open source identity-based secrets management system. In OpenBao versions prior to 2.4.1, JSON objects after decoding may use significantly more memory than their serialized version. It is possible to craft a JSON payload to maximize the factor between serialized memory usage and deserialized memory usage, similar to a zip bomb, with factors reaching approximately 35. This can be used to circumvent the max_request_size configuration parameter which is intended to protect against denial of service attacks. The request body is parsed into a map very early in the request handling chain before authentication, which means an unauthenticated attacker can send a specifically crafted JSON object and cause an out-of-memory crash. Additionally, for requests with large numbers of strings, the audit subsystem can consume large quantities of CPU. The vulnerability is fixed in version 2.4.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:美国国家漏洞数据库 NVD
漏洞标题
OpenBao 资源管理错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
OpenBao是OpenBao开源的一个敏感数据管理软件。 OpenBao 2.4.1之前版本存在资源管理错误漏洞,该漏洞源于JSON对象反序列化后可能占用过多内存,可能导致拒绝服务攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-59043 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-59043 的情报信息

  • 标题: reject JSON bodies which consume large amounts of RAM by phil9909 · Pull Request #1756 · openbao/openbao · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    reject JSON bodies which consume large amounts of RAM by phil9909 · Pull Request #1756 · openbao/openbao · GitHub

  • 标题: Potential Denial of Service when processing malicious unauthenticated JSON requests · Advisory · openbao/openbao · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Potential Denial of Service when processing malicious unauthenticated JSON requests · Advisory · openbao/openbao · GitHub

  • 标题: reject JSON bodies which consume large amounts of RAM (#1756) · openbao/openbao@d418f23 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    reject JSON bodies which consume large amounts of RAM (#1756) · openbao/openbao@d418f23 · GitHub

  • 标题: openbao/http/logical.go at 788536bd3e10818a7b4fb00aac6affc23388e5a9 · openbao/openbao · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    openbao/http/logical.go at 788536bd3e10818a7b4fb00aac6affc23388e5a9 · openbao/openbao · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-59043
四、漏洞 CVE-2025-59043 的评论

暂无评论

发表评论