Katalog CVE

CVE-2026-44545

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 24 - wyżej niż 24% wszystkich znanych CVE

Streszczenie

Daphne w wersjach przed 4.2.2 nie przekazywał wartości maxFramePayloadSize ani maxMessagePayloadSize do WebSocketServerFactory Autobahna. Domyślne ustawienia Autobahna dla obu wartości wynoszą 0 (bez limitu), co pozwala nieautoryzowanemu zdalnemu atakującemu na wysyłanie dowolnie dużych wiadomości lub ramek WebSocket, co prowadzi do nadmiernego zużycia pamięci i odmowy usługi.

Ocena ryzyka

Organizacja może być narażona na ataki typu denial of service, które mogą prowadzić do przestojów w działaniu aplikacji oraz zwiększonego zużycia zasobów systemowych.

Rekomendacja

Zaleca się aktualizację Daphne do wersji 4.2.2 lub nowszej, aby zabezpieczyć się przed tym problemem oraz skonfigurowanie odpowiednich limitów dla wiadomości WebSocket.

Oryginalny opis (angielski, źródło NVD)

daphne before 4.2.2 did not pass maxFramePayloadSize or maxMessagePayloadSize to Autobahn's WebSocketServerFactory. Because Autobahn defaults both values to 0 (unlimited), an unauthenticated remote attacker could send arbitrarily large WebSocket messages or frames, causing excessive memory consumption and a denial of service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS