Apache Commons IO 爆出 CPU 耗尽漏洞 CVE-2024-47554，影响 2.0 至 2.13.0 版本

Apache Commons IO 库的核心组件 `XmlStreamReader` 被曝存在一个可导致 CPU 资源被恶意耗尽的严重漏洞（CVE-2024-47554）。该漏洞允许攻击者通过构造特定的恶意输入，触发无限循环或异常的资源消耗，从而可能使依赖该库的应用程序或服务陷入瘫痪。这一资源耗尽型漏洞影响范围极广，涵盖了从 2.0 版本开始直至 2.13.0 的所有 Apache Commons IO 版本。

漏洞的根源在于 `org.apache.commons.io.input.XmlStreamReader` 类在处理输入时缺乏有效的资源控制机制。当该组件解析一个精心设计的恶意输入流时，会陷入高强度的 CPU 计算，无法正常退出，最终耗尽系统资源。作为 Java 生态系统中使用最广泛的基础工具库之一，Apache Commons IO 被集成在数以万计的企业级应用、Web 服务和开源项目中，这使得该漏洞的潜在攻击面巨大。

Apache 软件基金会已发布安全公告，强烈建议所有用户立即将依赖升级至已修复该问题的 2.14.0 版本。对于无法立即升级的系统和遗留项目，构成了显著的安全与运营风险。鉴于该漏洞的利用门槛相对较低且影响直接，安全团队需优先排查并修复，以防潜在的服务拒绝（DoS）攻击。自动化依赖管理工具（如 Renovate）已开始标记并自动创建升级拉取请求，以加速修复流程。