Katalog CVE

CVE-2026-48044

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.46%

Percentyl 37 — wyżej niż 37% wszystkich znanych CVE

Streszczenie

W Envoy od wersji 1.23.0 do 1.35.11, 1.36.7, 1.37.3 i 1.38.1 wykryto podatność w implementacji dekompresora zstd (ZstdDecompressorImpl). Przetwarzanie specjalnie spreparowanego, silnie skompresowanego ładunku zstd może prowadzić do ogromnej alokacji pamięci. Atakujący może wykorzystać tę podatność do wyczerpania pamięci, co skutkuje zabiciem procesu przez OOM i odmową usługi (DoS) dla proxy Envoy.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wywołania wyczerpania pamięci w serwerze proxy Envoy, co prowadzi do przerwania działania usługi i potencjalnie całej infrastruktury sieciowej. Atak nie wymaga uwierzytelnienia i może być przeprowadzony przez wysłanie spreparowanego żądania.

Rekomendacja

Należy niezwłocznie zaktualizować Envoy do wersji 1.35.11, 1.36.7, 1.37.3 lub 1.38.1, w zależności od używanej gałęzi. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz dekompresję zstd w konfiguracji proxy.

Oryginalny opis (angielski, źródło NVD)

Envoy is an open source edge and service proxy designed for cloud-native applications. From 1.23.0 until 1.35.11, 1.36.7, 1.37.3, and 1.38.1, a vulnerability has been identified in Envoy's zstd decompressor implementation (ZstdDecompressorImpl). When zstd decompression is enabled, processing a specially crafted, highly compressed zstd payload can lead to massive memory allocation. An attacker can exploit this to cause severe memory exhaustion, potentially resulting in an Out-Of-Memory (OOM) kill and Denial of Service (DoS) for the Envoy proxy. This vulnerability is fixed in 1.35.11, 1.36.7, 1.37.3, and 1.38.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS