漏洞概述
seroval 是一个用于 JavaScript 值序列化与反序列化的库,支持比 JSON.stringify 更复杂的结构。在 1.4.0 及更早版本中,攻击者可通过篡改编码后的数组长度字段,将其替换为极大数值,从而在反序列化过程中触发大量无效计算,显著延长处理时间,造成拒绝服务(DoS)。该问题已在 seroval 1.4.1 版本中修复。
漏洞详情
- CVE 编号:CVE-2026-23957
- 漏洞类型:CWE-770(未加限制的资源分配)
- CVSS 评分:7.5(HIGH)
- 影响版本:seroval ≤ 1.4.0
影响范围
所有使用 seroval 1.4.0 及更低版本进行反序列化操作的应用程序均可能受到影响,尤其是在处理不可信输入数据时。
风险分析
该漏洞可被远程利用,无需身份认证或用户交互。攻击者通过构造恶意序列化数据,在目标系统反序列化时触发高 CPU 或内存消耗,导致服务响应缓慢甚至完全不可用,构成高危拒绝服务风险。
修复建议
- 立即升级 seroval 至 1.4.1 或更高版本。
- 若无法立即升级,建议对所有反序列化输入实施严格验证与长度限制,避免处理不可信来源的数据。
