CVE-2026-46679
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
W wersjach przed 15.0.23, trzy współpracujące pominięcia w @libp2p/gossipsub pozwalają nieautoryzowanemu pojedynczemu węzłowi na wyczerpanie pamięci heap Node.js dowolnego węzła gossipsub z domyślnymi opcjami.
Ocena ryzyka
Organizacja może doświadczyć awarii usług związanych z gossipsub, co prowadzi do przerw w dostępności i potencjalnych strat finansowych.
Rekomendacja
Zaleca się aktualizację do wersji 15.0.23 lub nowszej, aby załatać tę podatność.
Oryginalny opis (angielski, źródło NVD)
libp2p is a JavaScript Implementation of libp2p networking stack. Prior to version 15.0.23, three cooperating omissions in @libp2p/gossipsub allow an unauthenticated single peer to exhaust the Node.js heap of any gossipsub node with default options. This issue has been patched in version 15.0.23.

