CVE-2026-42899ASP.NET Core框架中存在一处严重的安全缺陷,源于代码逻辑中存在无法退出的循环条件(即无限循环)。未经身份验证的远程攻击者可利用此漏洞,无需用户交互即可通过网络向受影响的服务器发送特制请求。该请求将触发无限循环,导致服务器资源(如CPU)被持续占用,最终引发服务拒绝,严重破坏系统的可用性。
该漏洞的根源在于ASP.NET Core的底层组件在处理特定类型的数据包或HTTP请求参数时,存在逻辑判断错误,导致程序进入一个“不可达退出条件”的循环状态。从技术原理来看,当输入解析器遇到特定的边界情况或畸形数据结构时,循环判断条件永远无法变为假值,从而导致无限循环。由于循环内部通常涉及内存分配或计算操作,这会迅速消耗服务器的CPU资源。
利用方式非常简单,攻击者无需任何权限即可通过网络发送特制的恶意请求。由于该漏洞的攻击复杂度低(AC:L)且无需用户交互(UI:N),攻击者可以自动化地批量发送攻击包,导致Web服务器进程挂起或响应超时,从而造成严重的拒绝服务(DoS)后果,使合法用户无法访问服务。