CVE-2025-66033 CVSS 5.3 中危

CVE-2025-66033: Okta Java Management SDK多线程内存泄漏漏洞

披露日期: 2025-12-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-66033

漏洞类型

内存泄漏

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Okta Java Management SDK

漏洞概述

Okta Java Management SDK在21.0.0到24.0.0版本中存在内存管理缺陷。在多线程并发调用API时，系统未能正确释放已完成请求的线程资源，导致内存占用持续增长。这种资源泄漏会影响长时间运行的服务性能，最终可能引发拒绝服务。

技术细节

该SDK的ApiClient在多线程场景下存在线程池管理问题。当多个线程同时发起API请求时，完成的线程未被正确回收和销毁，而是持续占用内存空间。随着请求数量增加，内存消耗呈线性增长趋势。攻击者可通过持续发送API请求来触发此漏洞，造成目标系统资源耗尽。

攻击链分析

STEP 1

步骤1

攻击者识别使用Okta Java Management SDK 21.0.0-24.0.0版本的目标应用

STEP 2

步骤2

通过多线程并发方式持续调用SDK的API接口

STEP 3

步骤3

观察目标应用的内存占用持续增长

STEP 4

步骤4

当内存耗尽时，应用出现拒绝服务，无法处理新的请求

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# POC for CVE-2025-66033
# 多线程并发请求触发内存泄漏
import concurrent.futures

def trigger_leak():
    # 模拟API调用
    response = requests.get('https://api.okta.com/api/v1/users')
    return response

# 启动大量并发线程
with concurrent.futures.ThreadPoolExecutor(max_workers=100) as executor:
    futures = [executor.submit(trigger_leak) for _ in range(1000)]
    concurrent.futures.wait(futures)

影响范围

21.0.0 <= Okta Java Management SDK < 24.0.1

防御指南

临时缓解措施

如无法立即升级，可通过限制API调用频率和增加内存监控来缓解风险

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表