CVE-2026-44928CVE-2026-44928是uriparser库在1.0.2版本之前存在的一个安全漏洞。该漏洞的核心在于`EqualsUri`函数族的逻辑缺陷,可能导致程序将两个实质内容不同的URI错误地判定为相等。虽然该漏洞的CVSS评分为2.9(低危),但在某些依赖URI字符串严格比对来进行身份验证或访问控制的应用场景中,攻击者利用此缺陷可能绕过安全检查逻辑,导致未授权访问或逻辑错误。
该漏洞的技术根源在于`uriparser`库中用于比较两个URI是否相等的函数系列(如`uriEqualsUri`及其相关函数)。在特定的解析路径下,由于实现逻辑未能全面覆盖URI规范中的所有边界情况,导致在比较两个结构或内容不同的URI时,程序可能错误地返回“相等”的判定结果。具体而言,这可能涉及到对URI编码、空字符处理、路径斜杠规范化或大小写敏感性的不当处理。攻击者可以利用这一点,构造一对在逻辑上应被视为不同的URI(例如指向不同的资源或具有不同的权限属性),但在受影响版本的库中却被判定为完全相同。由于攻击向量被限定为本地(AV:L),利用此漏洞通常需要攻击者具备一定的本地环境访问权限,或者能够控制传递给使用该库的应用程序的输入数据。成功的利用可能导致应用程序的访问控制列表(ACL)被绕过,允许攻击者访问本应受限的资源,或者导致应用程序在处理资源路由时发生逻辑错误。