CVE-2026-4923 CVSS 5.9 中危

CVE-2026-4923 Web路由正则表达式拒绝服务漏洞

披露日期: 2026-03-26

来源: ce714d77-add3-4f53-aff5-83d477b104bb

漏洞信息

漏洞编号

CVE-2026-4923

漏洞类型

ReDoS (正则拒绝服务)

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Fastify

漏洞概述

该漏洞存在于受影响产品的路由处理逻辑中。当开发者定义包含多个通配符及参数的路由，且通配符未位于路径末尾时，生成的正则表达式容易受到回溯攻击。攻击者可利用此漏洞发送特制请求，导致服务器CPU资源耗尽，从而引发拒绝服务。

技术细节

漏洞原理在于路由解析器将路径模式转换为正则表达式时，未对特定模式（如中间位置的多个通配符）进行安全限制。例如模式 `/*foo-*bar-:baz` 会生成包含嵌套量词的正则。当攻击者输入精心构造的恶意字符串（如长重复字符序列）时，正则引擎会尝试大量的匹配路径组合（回溯），导致计算复杂度呈指数级增长，迅速消耗服务器CPU资源，造成服务不可用。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标应用使用了受影响的Web框架及特定的路由模式。

STEP 2

构造攻击载荷

根据漏洞模式，构造包含特定通配符和参数组合的恶意URL路径。

STEP 3

发送恶意请求

向目标服务器发送包含恶意路径的HTTP请求。

STEP 4

触发漏洞

服务器正则引擎处理请求时发生灾难性回溯，CPU利用率飙升至100%。

STEP 5

达成拒绝服务

服务器资源耗尽，无法响应正常用户的请求。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Vulnerable Route Definition
// app.get('/*foo-*bar-:baz', handler)

// PoC Request (Conceptual)
// Attacker sends a request that triggers catastrophic backtracking
// Example: GET /aaaaaaaaaaaaaaaaaaaa-bbbbbbbbbbbbbbbbbbbb-ccccccccccc
// This causes the regex engine to backtrack excessively.

影响范围

Fastify < 8.4.0

防御指南

临时缓解措施

如果无法立即升级，请检查当前路由配置生成的正则表达式。建议使用正则检测工具（如recheck）验证路由模式是否存在回溯风险，并修改路由定义，避免在非路径末尾位置使用多个通配符。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4923
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4923
3 Details https://www.cvedetails.com/cve/CVE-2026-4923/
4 VulDB https://vuldb.com/cve/CVE-2026-4923
5 Link https://cna.openjsf.org/security-advisories.html

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表