Katalog CVE

CVE-2026-48042

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.53%

Percentyl 41 — wyżej niż 41% wszystkich znanych CVE

Streszczenie

W Envoy, otwartoźródłowym proxy brzegowym i usługowym dla aplikacji chmurowych, destruktor obiektu JSON powoduje przepełnienie stosu przy głęboko zagnieżdżonych obiektach (rzędu 100 tys. poziomów). Podatność występuje przed wersjami 1.35.11, 1.36.7, 1.37.3 i 1.38.1.

Ocena ryzyka

Atakujący może wysłać specjalnie spreparowane żądanie z głęboko zagnieżdżonym JSON-em, powodując awarię procesu Envoy (DoS) i potencjalnie przerwanie działania usług sieciowych.

Rekomendacja

Należy niezwłocznie zaktualizować Envoy do wersji 1.35.11, 1.36.7, 1.37.3 lub 1.38.1 (w zależności od używanej gałęzi).

Oryginalny opis (angielski, źródło NVD)

Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to 1.35.11, 1.36.7, 1.37.3, and 1.38.1, destructor of JSON Object results in stack overflow when deeply O(100K) nested objects are present. This vulnerability is fixed in 1.35.11, 1.36.7, 1.37.3, and 1.38.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS