CVE-2025-13466:body-parser 库因URL编码存在拒绝服务漏洞
漏洞详情
包管理器: npm 受影响包: body-parser
影响范围
- 受影响的版本: >= 2.2.0, < 2.2.1
- 已修复版本: 2.2.1
漏洞描述
影响
body-parser 2.2.0 版本存在拒绝服务漏洞,原因在于其对包含大量参数的URL编码请求体的低效处理。攻击者可以在默认的100KB请求大小限制内,发送包含数千个参数的负载,从而导致CPU和内存使用率异常升高。在持续的恶意流量攻击下,这可能导致服务速度减慢或部分中断。
修复补丁 此问题已在 2.2.1 版本中解决。
参考资料
- GHSA-wqch-xfxh-vrr4
- https://nvd.nist.gov/vuln/detail/CVE-2025-13466
- expressjs/body-parser@b204886
- https://github.com/expressjs/body-parser/releases/tag/v2.2.1
安全评分详情
严重等级:中等
CVSS 总体评分: 5.5 / 10
CVSS v4 基础指标
可利用性指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 无
- 用户交互: 无
易受攻击系统影响指标
- 保密性影响: 无
- 完整性影响: 无
- 可用性影响: 低
后续系统影响指标
- 保密性影响: 无
- 完整性影响: 无
- 可用性影响: 低
CVSS向量字符串: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L/E:P
EPSS 评分
评分: 0.055% (第17百分位) 此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点归类
弱点: CWE-400 - 不受控制的资源消耗 产品未能正确控制有限资源的分配和维护,从而使攻击者能够影响消耗的资源量,最终导致可用资源耗尽。
标识符
- CVE ID: CVE-2025-13466
- GHSA ID: GHSA-wqch-xfxh-vrr4
源代码仓库: expressjs/body-parser
致谢
- 报告者: Phillip9587
- 修复审阅者: bjohansebas, UlisesGascon, ctcpip, sheplu
- 分析师: jonchurch