CVE-2025-67841Nordic Semiconductor 生产的 nRF54H20 芯片中的 IronSide SE 组件在版本 23.0.2+17 之前存在一个严重的算法复杂度漏洞。该漏洞源于软件在处理特定输入数据时,未能有效控制计算资源的消耗,导致算法处理时间呈非线性增长。攻击者可以通过网络向量发起攻击,且无需任何认证或用户交互。只需发送精心构造的恶意数据包,即可触发该漏洞,造成设备资源耗尽。这会导致目标系统出现拒绝服务的情况,严重影响设备的可用性,建议用户尽快更新至修复版本。
该漏洞属于算法复杂度类拒绝服务漏洞,其根源在于 IronSide SE 固件中实现的关键算法缺乏对输入复杂度的有效限制。当攻击者通过网络向受影响设备发送特制的数据包时,该算法在解析或处理这些数据时会陷入高计算复杂度的状态(例如指数级时间复杂度)。由于 CVSS 向量显示无需认证(PR:N)且无用户交互(UI:N),攻击过程隐蔽且易于自动化。虽然漏洞未导致数据泄露或篡改(C:N/I:N),但会大量消耗 CPU 周期或内存,导致设备响应迟缓、功能中断,甚至完全死机,从而对业务连续性造成破坏。对于资源受限的 nRF54H20 物联网设备而言,这种资源耗尽往往是致命的,可能导致设备离线或需要人工干预重启。修复该漏洞需要厂商优化底层算法逻辑或增加输入长度校验机制。