Katalog CVE

CVE-2026-10725

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.05%

Percentyl 17 - wyżej niż 17% wszystkich znanych CVE

Streszczenie

Wersje Protocol::HTTP2 przed 1.13 dla Perla są podatne na atak typu HTTP/2 Bomb, który może prowadzić do nadmiernego zużycia pamięci serwera. Brak limitu rozmiaru listy nagłówków w metodzie headers_decode pozwala na niekontrolowane rozszerzanie pamięci.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do zablokowania zasobów serwera, co prowadzi do degradacji usług lub całkowitego ich zatrzymania. Organizacje powinny być świadome ryzyka związanego z nadmiernym zużyciem pamięci.

Rekomendacja

Zaleca się aktualizację do wersji Protocol::HTTP2 1.13 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić monitorowanie i ograniczenia dotyczące rozmiaru nagłówków w aplikacjach korzystających z HTTP/2.

Oryginalny opis (angielski, źródło NVD)

Protocol::HTTP2 versions before 1.13 for Perl is vulnerable to a HTTP/2 Bomb. Protocol::HTTP2's inbound HPACK path has no header-list size limit, so a small HTTP/2 request can expand into large server memory (the "HTTP/2 bomb"). The headers_decode method materialises a full key+value copy per indexed reference with no running size check, and the stream_header_block_add method appends (since version 1.12) every CONTINUATION frame to the per-stream buffer unbounded. MAX_HEADER_LIST_SIZE (default 65536) is advertised in SETTINGS but never consulted on decode. It is absent from the decoder and from the :limits export tag.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS