漏洞概述 该漏洞涉及在Anthropic API路由器的所有错误响应路径中,以及WebSocket路径中,未正确应用 函数。这导致攻击者可以通过构造特定的错误消息来绕过全局FastAPI异常处理器的安全限制,从而可能引发堆溢出攻击。 影响范围 受影响的文件: - - - 具体场景: - POST 异常处理 - POST 处理 - SSE流式传输错误 - WebSocket事件循环错误 - WebSocket生成循环错误 修复方案 应用 函数:在所有错误响应路径中应用 函数,确保错误消息经过适当的清理。 测试验证:添加了测试用例 ,包含9个测试用例,覆盖了真实PIL地址模式和源级验证,确保所有受影响的模块都正确应用了 函数。 POC代码 页面中未提供具体的POC代码或利用代码。 总结 该漏洞主要影响Anthropic API路由器和WebSocket路径中的错误处理机制,通过未正确应用 函数,可能导致堆溢出攻击。修复方案包括在所有错误响应路径中应用 函数,并通过测试用例进行验证。