CVE-2026-34665CAI Content Credentials 0.78.2、0.7.0及更早版本存在无限制的资源消耗漏洞。该漏洞允许未经身份验证的攻击者通过网络向目标系统发送特制请求。由于应用程序在处理特定输入时未对资源使用进行有效控制,攻击者可利用此漏洞耗尽系统CPU或内存资源。这种利用不需要任何用户交互,成功后将导致应用程序陷入拒绝服务状态,严重影响服务的可用性。
该漏洞属于典型的资源耗尽型拒绝服务漏洞。其技术核心在于CAI Content Credentials组件在解析特定格式数据(如JSON、XML或二进制流)时,缺乏对递归深度或数据大小的合理校验机制。攻击者可以通过网络向受影响的接口发送精心构造的恶意数据包,例如包含极深嵌套层次的递归结构或超大体积的压缩数据流。当应用程序尝试解析这些数据时,会触发无限的递归调用或申请超出系统物理限制的内存空间。由于CVSS向量显示无需用户交互(UI:N)且无需权限(PR:N),攻击者可以轻易地自动化这一过程,持续发送攻击请求,直至服务器资源耗尽,导致服务崩溃或完全无响应,从而达成拒绝服务攻击的目的。此类漏洞往往难以通过传统的签名检测防御,更依赖于行为分析和资源监控。