一、引言:當 Client 端元件成為新的攻擊面
在企業系統架構中,資安防護長期聚焦於 Server 端漏洞、API 存取控管與邊界防禦機制。然而,隨著自動化服務、背景 Agent 與第三方 API 整合愈來愈普遍,Client 端套件本身的資源處理行為,也逐漸成為攻擊者可利用的切入點。
2025 年 12 月,Python 生態系中廣泛使用的 HTTP 函式庫 urllib3 公開揭露兩項高風險漏洞(CVE-2025-66418、CVE-2025-66471),CVSS 評分皆達 8.9。這兩項漏洞並非傳統的遠端程式碼執行,而是可能在特定條件下,直接拖垮 Client 端系統資源,形成拒絕服務(DoS)風險。
二、漏洞總覽:Client 端資源耗盡型攻擊的核心問題
這次 urllib3 漏洞的關鍵,在於攻擊不需要異常請求或高流量,而是透過「格式合法但設計惡意」的 HTTP 回應內容,誘發 Client 端的資源耗盡行為。
在預設設定下,urllib3 會自動處理壓縮回應與資料解碼,這原本是為了提升效能與便利性,卻在缺乏嚴格限制時,成為潛在的風險來源。對於長時間運作、缺乏人工即時監控的 Client 端程式而言,這類攻擊特別難以及早察覺。
三、CVE-2025-66418:多層內容編碼引發的解壓風險
CVE-2025-66418 的問題出現在 urllib3 對多層 HTTP 內容編碼(chained content encoding)的處理邏輯中。當 Server 回傳經過多層壓縮的內容(例如 gzip 與 zstd 依序疊加),urllib3 會在 Client 端逐層進行解壓。
然而在舊版設計中,系統並未對解壓層數或解壓後資料的膨脹比例設下足夠限制,使攻擊者得以構造類似「解壓炸彈」的回應內容。在實務環境中,這類回應可能導致 Client 端 CPU 使用率異常升高,並快速耗盡記憶體資源,使應用程式無法正常回應。
四、CVE-2025-66471:串流 API 行為與資源控管失衡
另一項漏洞 CVE-2025-66471,則發生於 urllib3 的串流讀取 API(e.g. stream、read、read_chunked)在處理壓縮回應時的內部行為。
即使應用程式表面上是以串流方式逐段讀取資料,urllib3 在底層仍可能一次性完成解壓,並將大量資料載入記憶體。這樣的行為破壞了原本透過串流設計來降低資源消耗的初衷,使 Client 端在下載大型或惡意構造的壓縮內容時,瞬間承受過高的 CPU 與記憶體負載。
對於仰賴串流處理來控制資源使用的應用場景而言,這項漏洞帶來的風險尤為明顯。
五、影響版本、修補建議與供應鏈風險思考
根本的解決方式,是立即將 urllib3 升級至 2.6.0 或更新版本。新版已針對解壓深度與資源使用行為加入更嚴格的安全限制。若系統中同時使用 brotli 或相關壓縮套件,也應一併確認其版本安全性。
從更高層次來看,urllib3 屬於典型的基礎型第三方元件,往往透過其他套件被間接引入。這類漏洞的影響範圍廣、潛伏時間長,僅依賴人工盤點或被動更新,已難以因應現代軟體供應鏈的複雜風險。
六、結語:從單一漏洞修補,走向供應鏈層級的安全治理
urllib3 這類基礎型第三方元件的漏洞,往往難以即時察覺。在實務上,許多團隊並未直接引用 urllib3,卻可能因為其他套件的相依關係而間接受到影響,使風險在不知不覺中擴散。
這也反映出現代軟體開發的一個現實:僅依賴人工盤點套件版本或被動等待通報,已難以有效因應供應鏈層級的資安風險。對企業而言,關鍵不再只是「修補單一漏洞」,而是是否具備在開發、建置與部署各階段,持續掌握第三方與開源元件風險的能力。
因此,愈來愈多企業開始導入專注於軟體供應鏈安全(SCA)的解決方案,例如 Mend.io(原 WhiteSource)。透過自動化掃描與漏洞關聯分析,團隊能更早發現高風險元件,並在不影響開發效率的前提下,建立更具系統性的供應鏈資安治理機制。
Mend.io(原 WhiteSource)在供應鏈安全中的角色
在實務上,許多企業開始透過軟體供應鏈安全(SCA)工具,來補足人工盤點第三方與開源元件的不足。
Mend.io 是一套專注於應用程式安全與軟體供應鏈安全的解決方案,能協助企業即時掌握第三方元件與開源套件中的安全風險。
透過自動化掃描與漏洞關聯分析,Mend.io 可在開發、建置與部署階段即發現高風險漏洞,並提供明確的修補建議,協助團隊在不影響開發效率的前提下,有效降低供應鏈帶來的資安暴露面。
若您正評估如何管理第三方套件與開源元件帶來的資安風險,歡迎與我們聯繫,進一步了解 Mend.io 在軟體供應鏈安全與漏洞治理上的實務經驗!
宏虹可依企業需求提供 Mend.io 導入評估與治理建議,協助團隊即時掌握高風險漏洞,強化整體應用程式防護能力!
Honghong will provide you with any support you need!
Our professional Honghong team will be the first to respond and provide you with the best service to solve all your problems.
