CVE-2026-44697
HighCVSS 8.6Summary
Klever-Go, implementacja protokołu blockchain Klever, przed wersją 1.7.17 zawiera podatność na zdalny, nieautoryzowany atak typu denial-of-service w funkcji Batch.Decompress. Atakujący może wykorzystać mały ładunek danych do przydzielenia wielogigabajtowych pamięci na węźle odbierającym, co prowadzi do awarii walidatora.
Risk Assessment
Podatność ta może prowadzić do awarii całej sieci blockchain, co wpływa na jej dostępność i stabilność. W przypadku wykorzystania tej luki, organizacja może stracić kontrolę nad operacjami w sieci.
Recommendation
Zaleca się aktualizację do wersji 1.7.17 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i zabezpieczać węzły przed potencjalnymi atakami typu denial-of-service.
Original NVD description (English source)
Klever-Go is the Go implementation of the Klever blockchain protocol. Prior to 1.7.17, a remote, unauthenticated denial-of-service vulnerability in Batch.Decompress (data/batch/batch.go) allows any peer that participates in a topic served by MultiDataInterceptor to allocate multi-gigabyte heaps on the receiving node from a sub-50 KiB gossip payload. A single packet is sufficient to OOM-kill a validator with conventional memory provisioning. Fleet-wide application affects chain liveness. This vulnerability is fixed in 1.7.17.

