CVE-2026-44697
WysokieCVSS 8.6Streszczenie
Klever-Go, implementacja protokołu blockchain Klever, przed wersją 1.7.17 zawiera podatność na zdalny, nieautoryzowany atak typu denial-of-service w funkcji Batch.Decompress. Atakujący może wykorzystać mały ładunek danych do przydzielenia wielogigabajtowych pamięci na węźle odbierającym, co prowadzi do awarii walidatora.
Ocena ryzyka
Podatność ta może prowadzić do awarii całej sieci blockchain, co wpływa na jej dostępność i stabilność. W przypadku wykorzystania tej luki, organizacja może stracić kontrolę nad operacjami w sieci.
Rekomendacja
Zaleca się aktualizację do wersji 1.7.17 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i zabezpieczać węzły przed potencjalnymi atakami typu denial-of-service.
Oryginalny opis (angielski, źródło NVD)
Klever-Go is the Go implementation of the Klever blockchain protocol. Prior to 1.7.17, a remote, unauthenticated denial-of-service vulnerability in Batch.Decompress (data/batch/batch.go) allows any peer that participates in a topic served by MultiDataInterceptor to allocate multi-gigabyte heaps on the receiving node from a sub-50 KiB gossip payload. A single packet is sufficient to OOM-kill a validator with conventional memory provisioning. Fleet-wide application affects chain liveness. This vulnerability is fixed in 1.7.17.

