Katalog CVE

CVE-2026-11352

Nieznane
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w funkcji odbioru QUIC UDP w curl umożliwia złośliwemu serwerowi HTTP/3 wywołanie zdalnej odmowy usługi (DoS) na kliencie curl lub libcurl. Funkcja pomocnicza odrzuca puste datagramy UDP przed zliczeniem ich do budżetu pakietów na wywołanie, co pozwala połączonemu peerowi QUIC na ciągłe wysyłanie pustych datagramów, powodując nieokreślone blokowanie klienta.

Ocena ryzyka

Organizacja narażona jest na ataki DoS, które mogą uniemożliwić działanie aplikacji korzystających z curl lub libcurl do komunikacji przez HTTP/3. Atakujący może zablokować klienta, co prowadzi do przerw w działaniu usług sieciowych.

Rekomendacja

Zaleca się natychmiastową aktualizację curl i libcurl do wersji, w której naprawiono tę podatność. Należy również monitorować komunikację QUIC i stosować ograniczenia przepustowości dla połączeń HTTP/3.

Oryginalny opis (angielski, źródło NVD)

An issue in curl’s QUIC UDP receive function allows a malicious HTTP/3 server to trigger a remote denial of service against a curl or libcurl client. Because the helper function discards zero-length UDP datagrams before counting them toward the per-call packet budget, a connected QUIC peer can continuously stream empty datagrams to indefinitely stall the client.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS