漏洞概述 漏洞编号: EEF-CVE-2026-43973 漏洞类型: 不受控资源消耗(Uncontrolled Resource Consumption) 漏洞描述: 在 的 模块中,存在一个漏洞,允许恶意服务器通过无限制的 HTTP/1.1 响应缓冲耗尽客户端内存。具体表现为: - 在 中,三个子句将传入的 TCP 数据累积到连接的缓冲区字段中,使用二进制连接,没有上限检查。 - 当找到头终止符时, 子句在每次 返回表示不完整块边界的更多结果时附加数据。 - 子句在找到 后附加数据。 - 如果预期的终止符从未到达,增大的二进制文件将存储回状态,并等待更多数据,没有可配置或硬编码的缓冲区大小上限。 - 恶意或受损的服务器可以通过发送永远不会完成的部分响应来利用此漏洞。例如,响应可能以 开头,后跟任意字节的无限制流,但不发送头终止符。 - 连接进程将不断将新数据附加到其缓冲区,导致无限制的堆增长。由于 BEAM 默认不限制每个进程的堆大小,单个恶意连接可以耗尽节点上的所有可用内存,导致节点因内存不足而崩溃。 影响范围 受影响版本: 从 1.0.0 到 2.4.0 的 版本。 修复方案 修复状态: 页面未提供具体的修复方案或补丁信息。 建议: 建议用户升级到不受影响的版本或采取其他安全措施以防止此类攻击。 其他信息 CVSS 评分: 8.7 (HIGH) CVSS 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VA:N/SC:N/SI:N/SA:N 发布日期: 2026-06-08T14:12:12Z 修改日期: 2026-06-08T16:35:01.405Z 数据库特定信息 CWE IDs: CWE-770 CPE IDs: cpe:2.3:a:ninetails:gun:::::::: CAPEC IDs: 无 POC 代码或利用代码 页面中未提供具体的 POC 代码或利用代码。