关键信息 漏洞概述 漏洞名称: Unsafe default in allows params_limit bypass via semicolon-separated parameters. CVE ID: CVE-2025-59830 GHSA ID: GHSA-625h-95r8-8xpm 发布者: iouatix 发布时间: 7 hours ago 影响版本与修复版本 受影响版本: < 2.2.18 已修复版本: 2.2.18 严重性 CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性影响: 无 - 完整性影响: 无 - 可用性影响: 高 CVSS v3 分数: 7.5 / 10 弱点 CWE-400 CWE-770 描述 摘要: 在版本 < 2.2.18 中, 仅对以 分隔的参数强制执行 ,但仍会在 和 上拆分。因此,攻击者可以使用 分隔符绕过参数计数限制并提交比预期更多的参数。 详细信息: 问题出现在 计算参数数量时只计算 字符,而默认分隔符正则表达式 在 和 上都会拆分。这种不匹配意味着使用 分隔符的查询未包含在参数计数中,允许绕过 。 影响: 直接调用 的应用程序或中间件可能会暴露于增加的 CPU 和内存消耗。这可能被滥用为有限的拒绝服务向量。 缓解措施 升级到修补后的 Rack 版本,其中 和 都一致地计入 。 如果无法立即升级,配置 使用显式分隔符(例如, )以避免不匹配。 作为一般预防措施,在 Web 服务器或代理层(例如,Nginx、Apache 或 CDN)强制执行查询字符串和请求大小限制,以缓解过度解析开销。