CVE-2026-34183
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 - wyżej niż 40% wszystkich znanych CVE
Streszczenie
Zdalny przeciwnik może wyczerpać pamięć heap serwera lub klienta QUIC, zalewając go pakietami zawierającymi ramki PATH_CHALLENGE. To może prowadzić do niekontrolowanego przydziału pamięci i abnormalej terminacji aplikacji.
Ocena ryzyka
Złośliwy zdalny przeciwnik może spowodować Denial of Service, co wpłynie na dostępność usług działających jako klient lub serwer QUIC.
Rekomendacja
Zaleca się monitorowanie i ograniczenie liczby pakietów PATH_CHALLENGE oraz wdrożenie mechanizmów ochrony przed atakami DoS.
Oryginalny opis (angielski, źródło NVD)
Issue summary: Remote peer may exhaust heap memory of the QUIC server or client by flooding it with packets containing PATH_CHALLENGE frames. Impact summary: A malicious remote peer can cause an unbounded memory allocation which can lead to an abnormal termination of the application acting as a QUIC client or server and a Denial of Service. A remote peer may exhaust heap memory by flooding the local QUIC stack with PATH_CHALLENGE frames. The local QUIC stack allocates a PATH_RESPONSE frame for every PATH_CHALLENGE it receives. The allocated PATH_RESPONSE frame gets freed only when the remote peer acknowledges reception of the PATH_RESPONSE frame which will not be done by a malicious peer. The FIPS modules in 4.0, 3.6, 3.5, 3.4, and 3.0 are not affected by this issue. The QUIC stack is outside of OpenSSL FIPS module boundary.

