CVE-2026-31812
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 - wyżej niż 39% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Quinn przed wersją 0.11.14 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wywołanie odmowy usługi (DoS) poprzez wysłanie spreparowanego pakietu QUIC Initial z nieprawidłowymi parametrami transportowymi. Błąd wynika z użycia funkcji unwrap() podczas dekodowania varintów, co prowadzi do paniki przy napotkaniu skróconego kodowania.
Ocena ryzyka
Atakujący może jednym pakietem, bez żadnej autoryzacji, doprowadzić do awarii aplikacji korzystającej z podatnej wersji Quinn, co skutkuje przerwaniem działania usługi i potencjalnymi stratami finansowymi lub operacyjnymi.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Quinn do wersji 0.11.14 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Quinn is a pure-Rust, async-compatible implementation of the IETF QUIC transport protocol. Prior to 0.11.14, a remote, unauthenticated attacker can trigger a denial of service in applications using vulnerable quinn versions by sending a crafted QUIC Initial packet containing malformed quic_transport_parameters. In quinn-proto parsing logic, attacker-controlled varints are decoded with unwrap(), so truncated encodings cause Err(UnexpectedEnd) and panic. This is reachable over the network with a single packet and no prior trust or authentication. This vulnerability is fixed in 0.11.14.

