一、引言:當 Client 端元件成為新的攻擊面
在企業系統架構中,資安防護長期聚焦於 Server 端漏洞、API 存取控管與邊界防禦機制。然而,隨著自動化服務、背景 Agent 與第三方 API 整合愈來愈普遍,Client 端套件本身的資源處理行為,也逐漸成為攻擊者可利用的切入點。
2025 年 12 月,Python 生態系中廣泛使用的 HTTP 函式庫 urllib3 公開揭露兩項高風險漏洞(CVE-2025-66418、CVE-2025-66471),CVSS 評分皆達 8.9。這兩項漏洞並非傳統的遠端程式碼執行,而是可能在特定條件下,直接拖垮 Client 端系統資源,形成拒絕服務(DoS)風險。
二、漏洞總覽:Client 端資源耗盡型攻擊的核心問題
這次 urllib3 漏洞的關鍵,在於攻擊不需要異常請求或高流量,而是透過「格式合法但設計惡意」的 HTTP 回應內容,誘發 Client 端的資源耗盡行為。
在預設設定下,urllib3 會自動處理壓縮回應與資料解碼,這原本是為了提升效能與便利性,卻在缺乏嚴格限制時,成為潛在的風險來源。對於長時間運作、缺乏人工即時監控的 Client 端程式而言,這類攻擊特別難以及早察覺。
三、CVE-2025-66418:多層內容編碼引發的解壓風險
CVE-2025-66418 的問題出現在 urllib3 對多層 HTTP 內容編碼(chained content encoding)的處理邏輯中。當 Server 回傳經過多層壓縮的內容(例如 gzip 與 zstd 依序疊加),urllib3 會在 Client 端逐層進行解壓。
然而在舊版設計中,系統並未對解壓層數或解壓後資料的膨脹比例設下足夠限制,使攻擊者得以構造類似「解壓炸彈」的回應內容。在實務環境中,這類回應可能導致 Client 端 CPU 使用率異常升高,並快速耗盡記憶體資源,使應用程式無法正常回應。
四、CVE-2025-66471:串流 API 行為與資源控管失衡
另一項漏洞 CVE-2025-66471,則發生於 urllib3 的串流讀取 API(如 stream、read、read_chunked)在處理壓縮回應時的內部行為。
即使應用程式表面上是以串流方式逐段讀取資料,urllib3 在底層仍可能一次性完成解壓,並將大量資料載入記憶體。這樣的行為破壞了原本透過串流設計來降低資源消耗的初衷,使 Client 端在下載大型或惡意構造的壓縮內容時,瞬間承受過高的 CPU 與記憶體負載。
對於仰賴串流處理來控制資源使用的應用場景而言,這項漏洞帶來的風險尤為明顯。
五、影響版本、修補建議與供應鏈風險思考
根本的解決方式,是立即將 urllib3 升級至 2.6.0 或更新版本。新版已針對解壓深度與資源使用行為加入更嚴格的安全限制。若系統中同時使用 brotli 或相關壓縮套件,也應一併確認其版本安全性。
從更高層次來看,urllib3 屬於典型的基礎型第三方元件,往往透過其他套件被間接引入。這類漏洞的影響範圍廣、潛伏時間長,僅依賴人工盤點或被動更新,已難以因應現代軟體供應鏈的複雜風險。
六、結語:從單一漏洞修補,走向供應鏈層級的安全治理
urllib3 這類基礎型第三方元件的漏洞,往往難以即時察覺。在實務上,許多團隊並未直接引用 urllib3,卻可能因為其他套件的相依關係而間接受到影響,使風險在不知不覺中擴散。
這也反映出現代軟體開發的一個現實:僅依賴人工盤點套件版本或被動等待通報,已難以有效因應供應鏈層級的資安風險。對企業而言,關鍵不再只是「修補單一漏洞」,而是是否具備在開發、建置與部署各階段,持續掌握第三方與開源元件風險的能力。
因此,愈來愈多企業開始導入專注於軟體供應鏈安全(SCA)的解決方案,例如 Mend.io(原 WhiteSource)。透過自動化掃描與漏洞關聯分析,團隊能更早發現高風險元件,並在不影響開發效率的前提下,建立更具系統性的供應鏈資安治理機制。
Mend.io(原 WhiteSource)在供應鏈安全中的角色
在實務上,許多企業開始透過軟體供應鏈安全(SCA)工具,來補足人工盤點第三方與開源元件的不足。
Mend.io 是一套專注於應用程式安全與軟體供應鏈安全的解決方案,能協助企業即時掌握第三方元件與開源套件中的安全風險。
透過自動化掃描與漏洞關聯分析,Mend.io 可在開發、建置與部署階段即發現高風險漏洞,並提供明確的修補建議,協助團隊在不影響開發效率的前提下,有效降低供應鏈帶來的資安暴露面。
若您正評估如何管理第三方套件與開源元件帶來的資安風險,歡迎與我們聯繫,進一步了解 Mend.io 在軟體供應鏈安全與漏洞治理上的實務經驗!
宏虹可依企業需求提供 Mend.io 導入評估與治理建議,協助團隊即時掌握高風險漏洞,強化整體應用程式防護能力!
宏虹將提供您所需的任何支援!
專業的宏虹團隊會第一時間回應,為您提供最佳的服務,解決您的一切問題
