Katalog CVE

CVE-2026-44697

WysokieCVSS 8.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Klever-Go, implementacja protokołu blockchain Klever, przed wersją 1.7.17 zawiera podatność na zdalny, nieautoryzowany atak typu denial-of-service w funkcji Batch.Decompress. Atakujący może wykorzystać mały ładunek danych do przydzielenia wielogigabajtowych pamięci na węźle odbierającym, co prowadzi do awarii walidatora.

Ocena ryzyka

Podatność ta może prowadzić do awarii całej sieci blockchain, co wpływa na jej dostępność i stabilność. W przypadku wykorzystania tej luki, organizacja może stracić kontrolę nad operacjami w sieci.

Rekomendacja

Zaleca się aktualizację do wersji 1.7.17 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i zabezpieczać węzły przed potencjalnymi atakami typu denial-of-service.

Oryginalny opis (angielski, źródło NVD)

Klever-Go is the Go implementation of the Klever blockchain protocol. Prior to 1.7.17, a remote, unauthenticated denial-of-service vulnerability in Batch.Decompress (data/batch/batch.go) allows any peer that participates in a topic served by MultiDataInterceptor to allocate multi-gigabyte heaps on the receiving node from a sub-50 KiB gossip payload. A single packet is sufficient to OOM-kill a validator with conventional memory provisioning. Fleet-wide application affects chain liveness. This vulnerability is fixed in 1.7.17.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS