Apache Fory拒绝服务漏洞CVE-2025-59328
Apache Forrest 是一个基于 Apache 项目构建的开源文档生成工具,主要用于生成静态网站,它使用 XDoclet 和 Velocity 作为其核心技术。
一、基本情况
Forrest 最初是为Apache软件基金会开发,旨在帮项目团队创建和维护高质量的文档,现已发展成为可用于任何项目的通用文档生成工具。
Apache Forrest 提供易于使用的命令行界面和配置文件,使得文档的生成和管理变得简单,通过插件系统,Forrest 可很容易地扩展功能。
栋科技漏洞库关注到Apache Fory中的漏洞允许远程攻击者造成拒绝服务(DoS),漏洞被追踪为CVE-2025-59328,CVSS 3.X评分6.1。
二、漏洞分析
CVE-2025-59328漏洞是Apache Fory受影响版本中安全漏洞,由于不受信任的恶意大数据反应,允许远程攻击者造成拒绝服务(DoS)。
漏洞源于不可信数据的不安全反序列化,通过大量精心编制的数据有效载荷,这些载荷在反序列化过程中,处理时会消耗过多的CPU资源。
这会导致CPU耗尽,导致使用Apache Fory库应用程序或系统对合法用户无响应且不可用,建议Apache Fory用户升级0.12.2或更高版本。
三、影响范围
0.5.0 <= Apache Fory <= 0.12.2
四、修复建议
Apache Fory > 0.12.2
五、参考链接
