CVE-2026-47774
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 49 — wyżej niż 49% wszystkich znanych CVE
Streszczenie
Podatność w Envoy umożliwia nieuwierzytelnionemu zdalnemu klientowi wywołanie nadmiernego zużycia pamięci poprzez manipulację nagłówkami HTTP/2. Problem wynika z niepełnego uwzględniania bajtów nagłówka cookie podczas walidacji rozmiaru oraz braku limitu na całkowity zdekodowany rozmiar nagłówka w HPACK. Może to prowadzić do przerwania procesu Envoy z powodu braku pamięci (OOM) i odmowy usługi.
Ocena ryzyka
Organizacja narażona jest na atak DoS, który może zakłócić działanie usług proxy i edge, prowadząc do niedostępności aplikacji. Atak nie wymaga uwierzytelnienia, co zwiększa ryzyko wykorzystania przez zewnętrznych napastników.
Rekomendacja
Należy niezwłocznie zaktualizować Envoy do wersji 1.35.11, 1.36.7, 1.37.3 lub 1.38.1. Jako tymczasowe środki zaradcze można rozważyć wyłączenie HTTP/2 downstream, zaostrzenie limitów nagłówków i ciasteczek przed ruchem do Envoy oraz monitorowanie zużycia pamięci.
Oryginalny opis (angielski, źródło NVD)
Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to versions 1.35.11, 1.36.7, 1.37.3, and 1.38.1, a vulnerability in Envoy's HTTP/2 downstream request processing allows an unauthenticated remote client to trigger excessive memory consumption, potentially resulting in OOM termination of the Envoy process and denial of service. The issue arises from the combination of two behaviors. First, cookie header bytes are not fully accounted for during request header size validation in Envoy. Second, HPACK header block limits in oghttp2/quiche are enforced on encoded bytes without a corresponding limit on total decoded header size. Together, these behaviors allow a malicious client to cause large decoded header allocations while bypassing the intended request header size protections. Versions 1.35.11, 1.36.7, 1.37.3, and 1.38.1 contain a fix. No complete workaround is known short of applying a fix. Possible temporary mitigations include disabling downstream HTTP/2 where operationally feasible; enforcing stricter request header and cookie limits before traffic reaches Envoy; and monitoring Envoy memory usage for abnormal growth under HTTP/2 traffic.

