CVE-2026-48042
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 41 — wyżej niż 41% wszystkich znanych CVE
Streszczenie
W Envoy, otwartoźródłowym proxy brzegowym i usługowym dla aplikacji chmurowych, destruktor obiektu JSON powoduje przepełnienie stosu przy głęboko zagnieżdżonych obiektach (rzędu 100 tys. poziomów). Podatność występuje przed wersjami 1.35.11, 1.36.7, 1.37.3 i 1.38.1.
Ocena ryzyka
Atakujący może wysłać specjalnie spreparowane żądanie z głęboko zagnieżdżonym JSON-em, powodując awarię procesu Envoy (DoS) i potencjalnie przerwanie działania usług sieciowych.
Rekomendacja
Należy niezwłocznie zaktualizować Envoy do wersji 1.35.11, 1.36.7, 1.37.3 lub 1.38.1 (w zależności od używanej gałęzi).
Oryginalny opis (angielski, źródło NVD)
Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to 1.35.11, 1.36.7, 1.37.3, and 1.38.1, destructor of JSON Object results in stack overflow when deeply O(100K) nested objects are present. This vulnerability is fixed in 1.35.11, 1.36.7, 1.37.3, and 1.38.1.

