解析!Protobuf JSON解析递归深度绕过漏洞 (CVE-2026-0994)

📅 发布时间:2026/7/6 21:27:30 👁️ 浏览次数:
解析!Protobuf JSON解析递归深度绕过漏洞 (CVE-2026-0994)
漏洞详情CVE ID:CVE-2026-0994严重等级:高危 (CVSS 8.2)影响组件:Pythonprotobuf包 (通过pip安装)受影响的版本: 6.33.4已修复版本:6.33.5漏洞描述在Python的google.protobuf.json_format.ParseDict()函数中存在一个拒绝服务漏洞。当解析嵌套的google.protobuf.Any消息时攻击者可以绕过max_recursion_depth参数设置的最大递归深度限制。由于在内部处理Any消息的逻辑中缺失了对递归深度的正确计数攻击者能够提交深度嵌套的Any结构数据。这些数据会绕过预期的递归限制最终耗尽Python的递归栈资源引发RecursionError从而导致服务崩溃。技术背景与影响漏洞根因:代码在解析特定嵌套结构Any消息时递归深度计数器未正确递增或检查导致防护机制失效。攻击向量:远程网络攻击者无需特殊权限也无需用户交互即可利用此漏洞。主要影响:可用性。攻击者可利用此漏洞导致依赖json_format.ParseDict()处理不可信输入的服务崩溃实现拒绝服务攻击。关联弱点:CWE-674 (不受控制的递归)。参考资料NVD漏洞详情修复提交 protocolbuffers/protobufd2b0016解决方案用户应立即将protobuf包升级至版本6.33.5或更高版本以修复此漏洞。升级命令如下pipinstall--upgrade protobuf6.33.5 FINISHED glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxdR7OBdNhBEUjTBoqoKUr5A0d1hX5Z8eFKRdlIS4Dctw更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手 对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享