CVE-2025-67899：CWE-674 uriparser项目uriparser中的未受控递归

严重性：低 类型：漏洞 CVE：CVE-2025-67899

uriparser 0.9.9及之前版本允许无限制递归和栈消耗，这在ParseMustBeSegmentNzNc函数处理包含大量逗号的大型输入时得到证实。

技术摘要

CVE-2025-67899标识了广泛使用的URI解析C库uriparser项目中的一个漏洞。该缺陷是由于ParseMustBeSegmentNzNc函数在处理包含大量逗号的URI片段时出现未受控递归。这导致了无限制的递归深度和栈消耗，可能通过使应用程序崩溃或无响应，引发栈溢出或拒绝服务（DoS）。该漏洞影响uriparser 0.9.9及之前版本。

攻击向量是本地（AV:L），要求攻击者能够访问使用该易受攻击库的系统。攻击复杂性高（AC:H），意味着利用难度大，且不需要特权或用户交互。CVSS评分为2.9，表示严重性较低，主要影响可用性，而不影响机密性或完整性。截至发布时，尚未发布任何补丁或修复程序，且尚未发现已知的野外利用。该漏洞归类于CWE-674（未受控递归），这是一种可导致资源耗尽的常见编程缺陷。将uriparser嵌入其软件栈的组织，特别是那些处理不受信任的URI输入的组织，如果被利用，可能容易受到应用程序崩溃或拒绝服务的影响。

潜在影响

对于欧洲组织而言，此漏洞的主要影响是，在处理包含大量逗号的特殊构造URI时，可能因应用程序崩溃或无响应而导致拒绝服务。这可能影响依赖uriparser进行URI解析的服务的可用性，例如Web服务器、网络设备或嵌入式系统。由于该漏洞不影响机密性或完整性，因此不太可能发生数据泄露或未经授权的修改。然而，服务中断可能导致运营停机，影响业务连续性和用户体验。如果在其软件栈中使用uriparser，对关键基础设施或高可用性有要求的行业，如电信、金融和政府服务，可能面临更高的风险。可利用性低和本地攻击向量降低了广泛攻击的可能性，但内部威胁或受损的内部系统可能利用此漏洞。缺乏已知的漏洞利用和补丁意味着组织应主动评估其暴露风险并准备缓解策略。

缓解建议

欧洲组织应实施以下具体缓解措施：

1. 清点并识别所有使用uriparser的软件组件和产品，特别是0.9.9及之前版本。
2. 对所有URI输入应用严格的输入验证和清理，以限制或拒绝可能触发递归的过长或逗号过多的片段。
3. 采用运行时保护措施，例如栈大小限制或递归深度监控，以防止栈耗尽。
4. 隔离或沙箱化使用uriparser的应用程序，以遏制潜在的崩溃并尽量减少对其他系统组件的影响。
5. 监控供应商公告和安全建议，了解针对此漏洞的补丁或更新，并计划及时部署。
6. 对自定义URI解析实现中的递归函数进行代码审查和测试，以避免类似问题。
7. 教育开发人员和安全团队了解CWE-674的风险和安全的编码实践，以防止未受控的递归。这些有针对性的行动超越了通用建议，专注于漏洞的具体性质和受影响的库。

受影响国家 德国、法国、英国、荷兰、瑞典、芬兰、意大利

来源： CVE数据库V5 发布时间： 2025年12月14日 星期日

技术细节

• 数据版本： 5.2
• 分配者简称： mitre
• 预留日期： 2025-12-14T22:17:41.925Z
• Cvss版本： 3.1
• 状态： 已发布