关键信息 漏洞概述 漏洞类型: 可能的DoS漏洞 受影响版本: < 2.9.9 修复版本: 2.9.10 影响 描述: 在发现GHSA-859r-vvv8-rm8r漏洞后,代码审查中发现了类似问题。 (和 )动作的行为相同,但在这种情况下,规则编写者必须传递一个参数给动作。 示例: 影响: 如果传递的参数数量过多,引擎将存储大量内存副本,可能导致DoS。 修复与缓解 补丁: 新版本2.9.10将包含修复。 变通方法: 如果规则不包含 或 动作,则引擎不受影响。否则没有已知的变通方法。 如何重现 规则示例: 请求示例: 示例: 如果名为 的参数数量为500,引擎将在内存中存储其名称500 500次,即250,000个副本。 其他信息 CVE ID: CVE-2025-48866 CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性: 无 - 完整性: 无 - 可用性: 高 弱点**: CWE-1050