https://blog.qife122.com/tags/%E7%BC%96%E7%A8%8B%E7%BC%BA%E9%99%B7/ Recent content in 编程缺陷 on 办公AI智能小助手 Hugo zh-cn qife Sat, 10 Jan 2026 10:59:03 +0800 https://blog.qife122.com/p/%E8%AF%A6%E8%A7%A3cve-2025-67899uriparser%E5%BA%93%E4%B8%AD%E4%B8%8D%E5%8F%97%E6%8E%A7%E9%80%92%E5%BD%92%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90/ Sat, 10 Jan 2026 10:59:03 +0800 https://blog.qife122.com/p/%E8%AF%A6%E8%A7%A3cve-2025-67899uriparser%E5%BA%93%E4%B8%AD%E4%B8%8D%E5%8F%97%E6%8E%A7%E9%80%92%E5%BD%92%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90/ <p>CVE-2025-67899: CWE-674 uriparser项目中的不受控递归漏洞</p> <p>严重性: 低 类型: 漏洞</p> <p><strong>CVE-2025-67899</strong></p> <p>CVE-2025-67899是uriparser库（最高至版本0.9.9）中的一个低严重性漏洞，由不受控递归导致无限栈消耗引起。该问题出现在<code>ParseMustBeSegmentNzNc</code>函数处理包含大量逗号的输入时，可能因栈耗尽导致拒绝服务。利用此漏洞需要本地访问权限，攻击复杂度高，且无需特权或用户交互。目前尚未发现野外利用，也未有补丁发布。该漏洞影响嵌入uriparser用于URI解析的应用程序，可能影响稳定性，但不会影响机密性或完整性。在关键系统中使用uriparser的欧洲组织应关注更新并考虑实施输入验证以降低风险。拥有强大软件开发部门及依赖嵌入式URI解析的行业所在国家更可能受影响。总体而言，该威胁严重性较低，但仍需关注以防止服务中断。</p>