CVE-2026-32285该漏洞存在于 jsonparser 库的 Delete 函数中。由于对畸形 JSON 输入的偏移量验证不足,攻击者可诱导产生负切片索引,进而引发运行时 panic。此漏洞无需认证且无用户交互,攻击者可远程利用,导致目标服务拒绝服务,严重影响了系统的可用性与稳定性。
漏洞根源在于 jsonparser 库在执行 JSON 数据删除操作时的逻辑缺陷。Delete 函数在解析特定路径并计算字节切片偏移量时,未对输入参数的边界条件进行严格校验。当接收到经过精心构造的畸形 JSON 数据时,函数内部的偏移量计算算法可能得出负值。在 Go 语言的切片操作机制中,使用这种负索引会导致不可预期的内存访问或直接触发“runtime error: slice bounds out of range”的 panic 异常。鉴于 jsonparser 常被用于高性能 Web 服务或数据处理场景,且该漏洞利用无需任何权限认证及用户交互,攻击者可通过网络接口轻易发送恶意数据包。一旦触发,服务进程将立即崩溃并终止,导致正常的业务处理中断,从而实现高效的拒绝服务攻击,严重影响业务连续性。