CVE-2026-49017
HighCVSS 7.1Exploitation Probability (EPSS)
Low risk24th percentile - higher than 24% of all known CVEs
Summary
W OpenStack Swift przed wersjami 2.36.2 i 2.37.2, middleware s3api wchodzi w nieskończoną pętlę podczas przetwarzania skróconego ciała żądania PUT w formacie aws-chunked. Klasa StreamingInput wielokrotnie dodaje pusty bufor i ponownie odczytuje, co prowadzi do trwałej nieodpowiedzialności serwera proxy.
Risk Assessment
Zautoryzowany atakujący może systematycznie wyczerpać wszystkie pracowniki serwera proxy, co skutkuje odmową usługi. Wzrost zużycia CPU i pamięci może prowadzić do poważnych problemów z dostępnością usług.
Recommendation
Zaleca się aktualizację OpenStack Swift do wersji 2.36.2 lub 2.37.2, aby usunąć tę podatność i zapobiec potencjalnym atakom typu denial of service.
Original NVD description (English source)
In OpenStack Swift before 2.36.2 and 2.37.2, s3api middleware enters an infinite loop when processing a truncated aws-chunked PUT request body. The StreamingInput class repeatedly appends an empty buffer and re-reads, causing the proxy-server worker handling the request to become permanently unresponsive with increasing CPU and memory consumption. An authenticated attacker can systematically exhaust all proxy-server workers, resulting in denial of service. The defect was introduced in Swift 2.36.0.

