平台
nodejs
组件
fastify
修复版本
5.7.4
5.7.4
5.7.3
CVE-2026-25224 描述了Fastify Web Streams响应处理中的拒绝服务(DoS)漏洞。该漏洞允许恶意远程客户端通过触发服务器内存耗尽来导致服务中断。受影响的版本包括Fastify 5.7.3之前的版本,建议用户尽快升级至5.7.3或更高版本以缓解风险。
攻击者可以利用此漏洞向Fastify服务器发送精心构造的Web Streams响应,导致服务器过度缓冲数据,最终耗尽服务器内存。这可能导致服务器崩溃、响应时间显著增加,甚至整个应用程序不可用。由于Fastify广泛应用于构建高性能API和Web应用程序,因此该漏洞的影响范围可能相当广泛。攻击者无需身份验证即可发起攻击,增加了潜在风险。
该漏洞已公开披露,目前没有已知的公开利用程序。根据CISA的评估,该漏洞的风险等级为低。建议关注安全社区的动态,以获取最新的威胁情报和缓解建议。
Applications built with Fastify 5.x that utilize Web Streams for response handling are at risk. This includes applications serving large files or streaming data, particularly those deployed in environments with limited resources or where input validation is insufficient. Shared hosting environments running Fastify applications are also potentially vulnerable.
• nodejs / server:
ps aux | grep -i fastify | grep -i 'readableStream'• nodejs / server:
journalctl -u fastify -f | grep -i 'backpressure'• generic web: Use a load testing tool (e.g., ApacheBench) to send a large, slow stream to Fastify endpoints and monitor server memory usage. Look for sustained increases in memory consumption.
disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级至Fastify 5.7.3或更高版本,该版本已修复此漏洞。如果无法立即升级,可以考虑避免在Fastify响应中发送Web Streams(例如,ReadableStream或Response主体)。 此外,实施速率限制和资源配额可以帮助减轻DoS攻击的影响。监控服务器资源使用情况,并设置警报以检测异常内存消耗,也有助于及时发现和响应潜在攻击。
将 Fastify 升级到 5.7.3 或更高版本。 这将解决由 sendWebStream 中无边界内存分配引起的拒绝服务漏洞。 升级将防止慢速或不读取的客户端导致服务器内存过度消耗。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-25224 是Fastify Web Streams响应处理中的拒绝服务漏洞,允许远程客户端耗尽服务器内存。
如果您正在使用Fastify 5.7.3之前的版本,则可能受到影响。请尽快升级。
升级至Fastify 5.7.3或更高版本。如果无法升级,请避免在Fastify响应中发送Web Streams。
目前没有已知的公开利用程序,但建议保持警惕并监控安全动态。
请查阅Fastify官方安全公告:[https://github.com/fastify/fastify/security/advisories/GHSA-7964-3483-4967](https://github.com/fastify/fastify/security/advisories/GHSA-7964-3483-4967)