CVE-2026-20746
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Obsługa atrybutów wirtualnych w Ping Identity PingDirectory w dotkniętych wersjach pozwala tylko autoryzowanym użytkownikom na wyczerpanie pamięci heap Java, gdy włączona jest historia ostatnich logowań i kopiowane są atrybuty wirtualne, które odnoszą się do wartości ds-privilege-name.
Ocena ryzyka
Organizacja może doświadczyć problemów z wydajnością lub awarii systemu z powodu wyczerpania pamięci, co może prowadzić do przerw w dostępności usług.
Rekomendacja
Zaleca się monitorowanie i ograniczenie dostępu do funkcji, które mogą prowadzić do wyczerpania pamięci, oraz aktualizację do najnowszej wersji oprogramowania, aby zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
Virtual attribute handling in Ping Identity PingDirectory in affected versions allows only authorized users to exhaust java memory heap when recent login history is enabled and copying virtual attributes that reference ds-privilege-name values.

