一、 漏洞 CVE-2024-1726 基础信息
漏洞标题
Quarkus:在resteasy reactive中,对于某些继承的端点,在序列化后进行的安全检查可能会引发拒绝服务攻击。
来源:AIGC 神龙大模型
漏洞描述信息
在Quarkus的RESTEasy Reactive实现中发现了一个漏洞。由于某些JAX-RS端点的安全检查在序列化之后执行,因此在检查HTTP请求时会消耗更多的处理资源。在某些配置中,如果攻击者知道任何POST、PUT或PATCH请求路径,他们可能识别出易受攻击的端点并触发资源过度使用,因为端点在处理请求时。这可能导致服务拒绝。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:AIGC 神龙大模型
漏洞标题
Quarkus: security checks for some inherited endpoints performed after serialization in resteasy reactive may trigger a denial of service
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was discovered in the RESTEasy Reactive implementation in Quarkus. Due to security checks for some JAX-RS endpoints being performed after serialization, more processing resources are consumed while the HTTP request is checked. In certain configurations, if an attacker has knowledge of any POST, PUT, or PATCH request paths, they can potentially identify vulnerable endpoints and trigger excessive resource usage as the endpoints process the requests. This can result in a denial of service.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
权限预留不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Quarkus 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Quarkus是一个用于编写 Java 应用程序的云原生 (Linux) 容器优先框架。 Quarkus存在安全漏洞,该漏洞源于在检查 HTTP 请求时会消耗更多处理资源。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-1726 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-1726 的情报信息