文章总结： HAProxy发现高危拒绝服务漏洞CVE-2025-11230，源于mjson库的低效算法复杂性，特制JSON请求可导致服务中断。漏洞影响所有使用JSON解析功能的HAProxy版本，特别是使用json_query等函数的配置。目前唯一的解决方法是立即升级到对应修复版本，包括社区版2.4.30等、企业版hapee-2.4r1-lb-1.0.0-294.1446等和KubernetesIngressControllerv3.1.12等。 综合评分： 91 文章分类： 漏洞分析,漏洞预警,网络安全

CVE-2025-11230：HAProxy mjson 库中的拒绝服务漏洞攻击（2025.10.03）

原创

HA

时间摆渡

2025年10月5日 10:15 广东

HAProxy Technologies 已修复 HAProxy 中一个高危拒绝服务漏洞 ( CVE-2025-11230 )。此问题源于HAProxy 依赖项mjson库中存在的低效算法复杂性(CWE-407) 。包含大值的特制 JSON 请求可能会利用此漏洞，导致 HAProxy 的看门狗进程终止。

此漏洞影响所有当前版本 HAProxy 上使用 JSON 解析功能的配置，包括 HAProxy 社区版、HAProxy 企业版、HAProxy ALOHA 设备和 HAProxy Kubernetes Ingress Controller。

如果您使用以下JSON 解析函数，我们强烈建议您升级到最新版本：除了更新 HAProxy 之外，没有其他解决方法。json_query()、``jwt_header_query()、``jwt_payload_query()

1、漏洞详情

• CVE 标识符： CVE-2025-11230

• CVSSv3 评分： 7.5（高）

• 描述：

• HAProxy 使用的 mjson 库在处理极大值时发现了一个缺陷。该缺陷编号为CVE 2023-30421。

• 当 HAProxy 在某些 JSON 解析上下文（特别是 、 或样本获取方法）中遇到包含这些大数字（例如，1e1000000000000000）的请求时json_query，jwt_header_query它jwt_payload_query可以处理大约一秒钟，然后再中止。

• 这种低效算法复杂性（CWE-407）弱点可用于不断向 HAProxy 发送请求，这可能导致看门狗终止该进程，从而导致拒绝对运行 HAProxy 的网络提供服务。

2、受影响的版本和修复

HAProxy Technologies 已发布受影响产品的新版本，通过在mjson库中私下 fork 一种更高效的方法来修复此问题。此问题也已报告给 mjson 库的维护人员。

目前没有基于配置的补救措施，因为除了删除涉及这些转换器的规则外，此问题可能出现在任何启用了 JSON 请求的应用程序特定区域中。唯一的解决方案是更新到修复版本。

| 产品 | 受影响的分支机构 | 修复版本 | | — | — | — | | HAProxy 社区版 | 2.4 2.6 2.8 3.0 3.1 3.2 | 2.4.30 2.6.23 2.8.16 3.0.12 3.1.9 3.2.6 | | HAProxy 企业版 | hapee-2.4r1 hapee-2.6r1 hapee-2.8r1 hapee-3.0r1 hapee-3.1r1 | hapee-2.4r1-lb-1.0.0-294.1446 hapee-2.6r1-lb-1.0.0-301.1704 hapee-2.8r1-lb-1.0.0-327.1146 hapee-3.0r1-lb-1.0.0-346.795 hapee-3.1r1-lb-1.0.0-349.585 | | HAProxy ALOHA 设备 | 17.0 16.5 15.5 14.5 | 17.0.7 16.5.19 15.5.28 14.5.33 | | HAProxy Kubernetes 入口控制器 | 所有版本 | v3.1.12 | | HAProxy 企业 Kubernetes 入口控制器 | 所有版本 | v1.9.14-ee7 v1.11.12-ee10 v3.0.15-ee4 |

#

3、升级说明

受影响产品的用户应立即升级，获取各自发布列表中的最新镜像版本。

“ 全文完，感谢阅读。欢迎关注和在看，诚挚感谢”