关键漏洞信息 漏洞概述 标题: Denial of Service via Uncontrolled Resource Allocation in security-kit.js 严重性: High (8.7/10) CVE ID: CVE-2025-54884 CVSS v4 基本指标: - 攻击向量: Network - 攻击复杂度: Low - 攻击需求: None - 所需权限: None - 用户交互: None - 可用性影响: High 影响范围 受影响版本: < 1.4.0 修复版本: 1.5.0 描述 摘要: 和 函数在 版本 3.5.0(包含在 Vision-ui <= 1.4.0 中)中存在拒绝服务(DoS)攻击漏洞。远程、未认证的攻击者可以提供恶意参数,导致不受控制的资源消耗,从而过度分配内存和/或 CPU 利用率,使应用程序无响应。 细节 1. 内存耗尽: 函数直接使用 参数计算 缓冲区的大小。之前的限制 1024 不足以防止攻击者通过重复请求大 ID 来耗尽服务器内存。 2. CPU 和内存耗尽: 函数根据 和 之间的数值范围计算缓冲区大小。非常大的范围会导致大量内存分配和计算昂贵的拒绝采样循环,消耗过多的 CPU 周期,可能挂起线程。 弱点 CWE-400: Uncontrolled Resource Consumption ('Resource Exhaustion') CWE-770: Allocation of Resources Without Limits or Throttling 修复措施 在版本 3.5.0 中通过强制执行更严格、更安全的输入参数限制(例如,ID 的最大长度为 256,整数的最大范围为 ±2^21)并实现采样循环中的断路器来防止过度计算。