漏洞概述
ManageIQ 是一个开源的管理平台。在 CVE-2026-22598 中,攻击者可利用 ManageIQ API(版本早于 radjabov-2)中对 TimeProfile 的处理缺陷,创建格式异常的 TimeProfile,从而导致后续 UI 和 API 请求超时,引发拒绝服务(Denial of Service, DoS)。
漏洞详情
- CVE 编号:CVE-2026-22598
- 漏洞类型:输入验证不当(CWE-20)
- CVSS 评分:7.1(HIGH)
- 影响版本:ManageIQ 所有早于 radjabov-2 的版本
影响范围
所有使用受影响版本 ManageIQ 的系统,尤其是暴露 ManageIQ API 接口且允许低权限用户创建或修改 TimeProfile 的部署环境。
风险分析
攻击者在具备低权限(PR:L)的情况下,可通过网络(AV:N)发送特制请求,无需用户交互(UI:N),即可触发服务端资源耗尽或逻辑死锁,造成 API 和 Web 界面响应超时,最终导致拒绝服务。该漏洞对系统可用性构成严重威胁。
修复建议
- 升级至已修复的 ManageIQ 版本 radjabov-2 或更高版本。
- 如无法立即升级,可手动应用官方提供的补丁(见参考链接)以缓解风险。
