平台
nodejs
组件
@nestjs/microservices
修复版本
11.1.20
11.1.20
11.1.19
CVE-2026-40879 是 @nestjs/microservices 模块中的服务拒绝 (DoS) 漏洞。攻击者通过发送大量小型的有效 JSON 消息到 TCP 帧中,可以触发递归溢出,导致服务崩溃。此漏洞影响 @nestjs/microservices 版本小于或等于 11.1.18 的用户。已在 11.1.19 版本中修复。
攻击者可以利用此漏洞通过发送精心构造的 JSON 消息来耗尽服务器资源,导致服务不可用。攻击者无需身份验证即可发起攻击,因此影响范围广泛。攻击者发送的有效载荷只需要大约 47KB 即可触发 RangeError 异常,导致调用堆栈溢出。这种攻击模式类似于某些分布式拒绝服务 (DDoS) 攻击,但攻击者只需要单个恶意客户端即可造成影响。
该漏洞于 2026 年 4 月 14 日公开披露。目前没有已知的公开利用程序 (PoC),但该漏洞的易受攻击性较高,且攻击方式相对简单,因此存在被利用的风险。该漏洞尚未被添加到 CISA KEV 目录中。建议密切关注安全社区的动态,并及时采取缓解措施。
Applications built with NestJS that utilize the @nestjs/microservices package and are running versions prior to 11.1.19 are at risk. This includes microservices architectures and applications relying on TCP-based communication for inter-service communication. Specifically, deployments with limited resources or those handling high volumes of incoming requests are more vulnerable.
• nodejs / server:
npm list @nestjs/microservices• nodejs / server:
ps aux | grep -i microservices | grep -i json• nodejs / server:
journalctl -u your-nestjs-app -f | grep -i RangeErrordisclosure
patch
漏洞利用状态
EPSS
0.06% (17% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 @nestjs/microservices 11.1.19 或更高版本。如果无法立即升级,可以考虑在反向代理或负载均衡器上实施速率限制,以限制来自单个客户端的请求数量。此外,可以配置应用程序以限制 TCP 帧的大小,以防止攻击者发送过大的消息。升级后,请确认服务正常运行,并检查日志中是否有异常。
升级到 11.1.19 或更高版本以减轻拒绝服务风险。此版本通过避免 handleData 函数中的过度递归来修复此问题,从而防止调用栈溢出。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-40879 是 @nestjs/microservices 模块中的一个服务拒绝 (DoS) 漏洞,攻击者通过发送大量小 JSON 消息导致递归溢出,可能导致服务崩溃。
如果您正在使用 @nestjs/microservices 版本小于或等于 11.1.18,则您可能受到此漏洞的影响。
升级到 @nestjs/microservices 11.1.19 或更高版本可以修复此漏洞。
目前没有已知的公开利用程序,但存在被利用的风险。
请查阅 @nestjs/microservices 的官方安全公告或 GitHub 仓库以获取更多信息。
CVSS 向量