)
漏洞详情
CVE ID:CVE-2026-0994
严重等级:高危 (CVSS 8.2)
影响组件:Pythonprotobuf包 (通过pip安装)
受影响的版本:<= 6.33.4
已修复版本:6.33.5
漏洞描述
在Python的google.protobuf.json_format.ParseDict()函数中存在一个拒绝服务漏洞。当解析嵌套的google.protobuf.Any消息时,攻击者可以绕过max_recursion_depth参数设置的最大递归深度限制。
由于在内部处理Any消息的逻辑中缺失了对递归深度的正确计数,攻击者能够提交深度嵌套的Any结构数据。这些数据会绕过预期的递归限制,最终耗尽Python的递归栈资源,引发RecursionError,从而导致服务崩溃。
技术背景与影响
- 漏洞根因:代码在解析特定嵌套结构(
Any消息)时,递归深度计数器未正确递增或检查,导致防护机制失效。 - 攻击向量:远程网络攻击者无需特殊权限,也无需用户交互即可利用此漏洞。
- 主要影响:可用性。攻击者可利用此漏洞导致依赖
json_format.ParseDict()处理不可信输入的服务崩溃,实现拒绝服务攻击。 - 关联弱点:CWE-674 (不受控制的递归)。
参考资料
NVD漏洞详情
修复提交 protocolbuffers/protobuf@d2b0016
解决方案
用户应立即将protobuf包升级至版本6.33.5或更高版本,以修复此漏洞。升级命令如下:
pipinstall--upgrade protobuf>=6.33.5 ```FINISHED glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxdR7OBdNhBEUjTBoqoKUr5A0d1hX5Z8eFKRd+lIS4Dctw==更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手) 对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
