关键漏洞信息 漏洞概述 CVE: CVE-2025-6208 类型: Uncontrolled Resource Consumption (CWE-400) 严重性: Medium (5.3) 受影响版本: 0.12.23 状态: Fixed 发现者: Mr. Niko (@0xmnnko) 修复者: Clelia (Astra) Bertelli (@astrabert) 漏洞详情 主要原因: 组件在处理具有大量文件的目录时,未能正确应用 限制,导致不受控制的内存使用和不必要的CPU使用。 关键代码位置: - 文件: - 类: - 方法: 根本原因: 技术后果: - 浪费的操作: 100%文件处理 → 99.9%被丢弃 - 无法早期终止: 达到限制后继续处理 - 内存保留: 数据集直到函数退出前都保留在内存中 证明概念 (PoC) 影响分析 未控制的内存增长: 函数在应用限制前将所有文件加载到内存中,导致资源有限的系统可能出现崩溃。 处理开销与性能下降: 对整个文件列表排序会造成不必要的CPU开销。 DoS利用可能性: 攻击者可故意提供带有大量文件的目录,耗尽系统资源,导致服务不可用。 推荐修复方案 在应用限制前及早终止文件加载过程,避免对整个文件列表进行不必要的排序。