漏洞关键信息 漏洞概述 漏洞描述: 记忆体泄漏问题出现在各种WIT接口中。 标识符: GHSA-mv4f-6ffm-32wx 发布者: fibonacci1729 发布日期: 2小时前 严重性评分: 6.9 / 10 (中等) 影响的软件版本 漏洞详情 概要: 识别到一种模式,其中客户端代码可能会导致主机侧无约束的大规模资源分配,可能导致主机进程崩溃,从而成为拒绝服务攻击的向量。 详细信息: 当Spin配置允许与数据库或web服务器连接返回未约束大小的响应时,可能会在尝试缓冲整个响应前未将响应交给客户端而导致主机进程耗尽内存、恐慌并崩溃。恶意的客户端应用可能逐渐向数据库插入大量数据并在单一查询中取出,造成主机资源大量分配问题。 相关APIs: - spin:sqlite - spin:postgres - ferylite:spin/mysql - ferylite:spin/postgres - ferylite:spin/sqlite - ferylite:spin/key-value - ferylite:spin/lite - ferylite:spin/http - ferylite:spin/redis - wasi:keyvalue 解决方案 修复版本: Spin 3.6.2,SpinKube 0.6.2,containerd-shim-spin 0.22.1 已修补该问题。 缓解措施: 配置Spin仅允许访问设置有限响应尺寸的可信赖数据库和HTTP服务器。 漏洞影响 拒绝服务攻击向量: 影响Spin所有嵌入方,SpinKube所有用户,以及运行可能不可信内容和/或允许访问不可信数据库的containerd-shim-spin。 其他信息 CVE ID: CVE-2026-27887 弱点类型: - CWE-770 - CWE-774 - CWE-789