CVE-2026-32287 CVSS 7.5 高危

CVE-2026-32287 antchfx/xpath 无限循环拒绝服务漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32287

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

antchfx/xpath

漏洞概述

antchfx/xpath库中存在严重的拒绝服务漏洞。当该库处理评估为true的布尔XPath表达式（例如“1=1”或“true()”）时，其内部的`logicalQuery.Select`函数会陷入无限循环。由于该漏洞网络攻击向量复杂度低且无需用户交互，攻击者可轻易触发此漏洞，导致受害者服务器CPU占用率飙升至100%，从而造成服务不可用。此漏洞主要影响系统可用性，不涉及机密性或完整性丧失。

技术细节

该漏洞的根源在于antchfx/xpath库在处理逻辑查询时的实现缺陷。具体而言，当`logicalQuery.Select`函数接收到一个恒为真的布尔表达式（如字面量“true()”或简单的算术比较“1=1”）时，其内部迭代逻辑未能正确处理此类边界情况，导致循环终止条件永远无法满足，从而使程序陷入死循环状态。攻击者无需进行身份认证，也无需诱导用户进行交互，只需向集成了该库的Web服务或应用程序提交包含此类恶意XPath表达式的请求数据，即可在服务端触发漏洞。一旦触发，受影响的进程将立即占用CPU核心进行无意义的计算，导致系统负载急剧升高，合法请求无法得到及时处理，最终导致服务拒绝。虽然该漏洞不直接导致数据泄露，但其对服务可用性的破坏力极大。

攻击链分析

STEP 1

侦察

攻击者识别出目标应用程序使用了antchfx/xpath库来处理XML或XPath查询。

STEP 2

构造载荷

攻击者构造包含特定布尔XPath表达式的恶意数据，例如使用恒真表达式“1=1”或“true()”。

STEP 3

发送请求

攻击者通过HTTP请求或其他接口将恶意数据发送至目标服务器。

STEP 4

触发漏洞

目标服务器解析XPath并调用`logicalQuery.Select`函数，由于逻辑缺陷，程序进入无限循环。

STEP 5

资源耗尽

服务器CPU使用率瞬间达到100%，无法处理正常请求，导致拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

package main

import (
	"fmt"
	"github.com/antchfx/xpath"
)

func main() {
	// PoC: Triggering the infinite loop with a boolean XPath expression
	// This requires a vulnerable version of antchfx/xpath
	expr, err := xpath.Compile("true()")
	if err != nil {
		panic(err)
	}

	// The Evaluate call leads to logicalQuery.Select entering an infinite loop
	// consuming 100% CPU.
	fmt.Println("Executing vulnerable XPath query...")
	// Uncommenting the following line on a vulnerable version will hang the process:
	// expr.Evaluate(nil)
	fmt.Println("PoC completed (if vulnerable, process would hang)")
}

影响范围

antchfx/xpath (修复提交 afd4762 之前的版本)

防御指南

临时缓解措施

在应用层面对用户提交的XPath查询实施严格的输入验证，通过正则表达式或解析器拦截包含“1=1”、“true()”等恒真布尔表达式的输入。同时，建议在服务端部署资源监控和熔断机制，当检测到单个进程或线程CPU占用异常时自动终止该任务，以保障整体服务的可用性。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表