CVE-2026-10725
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 - wyżej niż 17% wszystkich znanych CVE
Streszczenie
Wersje Protocol::HTTP2 przed 1.13 dla Perla są podatne na atak typu HTTP/2 Bomb, który może prowadzić do nadmiernego zużycia pamięci serwera. Brak limitu rozmiaru listy nagłówków w metodzie headers_decode pozwala na niekontrolowane rozszerzanie pamięci.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do zablokowania zasobów serwera, co prowadzi do degradacji usług lub całkowitego ich zatrzymania. Organizacje powinny być świadome ryzyka związanego z nadmiernym zużyciem pamięci.
Rekomendacja
Zaleca się aktualizację do wersji Protocol::HTTP2 1.13 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić monitorowanie i ograniczenia dotyczące rozmiaru nagłówków w aplikacjach korzystających z HTTP/2.
Oryginalny opis (angielski, źródło NVD)
Protocol::HTTP2 versions before 1.13 for Perl is vulnerable to a HTTP/2 Bomb. Protocol::HTTP2's inbound HPACK path has no header-list size limit, so a small HTTP/2 request can expand into large server memory (the "HTTP/2 bomb"). The headers_decode method materialises a full key+value copy per indexed reference with no running size check, and the stream_header_block_add method appends (since version 1.12) every CONTINUATION frame to the per-stream buffer unbounded. MAX_HEADER_LIST_SIZE (default 65536) is advertised in SETTINGS but never consulted on decode. It is absent from the decoder and from the :limits export tag.

