CVE-2026-11586
NieznaneStreszczenie
W curl domyślnie automatycznie odpowiada na ramki WebSocket PING. Z powodu braku górnego limitu alokacji pamięci dla niepotwierdzonych ramek, złośliwy serwer może wyczerpać całą dostępną pamięć, zalewając curl szybkimi, sekwencyjnymi komunikatami PING.
Ocena ryzyka
Atakujący serwer WebSocket może spowodować wyczerpanie pamięci w systemie klienckim, prowadząc do odmowy usługi (DoS) dla aplikacji korzystających z curl.
Rekomendacja
Zaleca się aktualizację curl do wersji, która wprowadza górny limit alokacji pamięci dla niepotwierdzonych ramek WebSocket PING. Należy również rozważyć ograniczenie zaufania do serwerów WebSocket.
Oryginalny opis (angielski, źródło NVD)
By default, curl automatically responds to WebSocket PING frames. Because curl lacks an upper bound on memory allocation for unacknowledged frames, a malicious server can exhaust all available memory by flooding curl with rapid, sequential PING messages.

