CVE-2026-48044
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 37 — wyżej niż 37% wszystkich znanych CVE
Streszczenie
W Envoy od wersji 1.23.0 do 1.35.11, 1.36.7, 1.37.3 i 1.38.1 wykryto podatność w implementacji dekompresora zstd (ZstdDecompressorImpl). Przetwarzanie specjalnie spreparowanego, silnie skompresowanego ładunku zstd może prowadzić do ogromnej alokacji pamięci. Atakujący może wykorzystać tę podatność do wyczerpania pamięci, co skutkuje zabiciem procesu przez OOM i odmową usługi (DoS) dla proxy Envoy.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wywołania wyczerpania pamięci w serwerze proxy Envoy, co prowadzi do przerwania działania usługi i potencjalnie całej infrastruktury sieciowej. Atak nie wymaga uwierzytelnienia i może być przeprowadzony przez wysłanie spreparowanego żądania.
Rekomendacja
Należy niezwłocznie zaktualizować Envoy do wersji 1.35.11, 1.36.7, 1.37.3 lub 1.38.1, w zależności od używanej gałęzi. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz dekompresję zstd w konfiguracji proxy.
Oryginalny opis (angielski, źródło NVD)
Envoy is an open source edge and service proxy designed for cloud-native applications. From 1.23.0 until 1.35.11, 1.36.7, 1.37.3, and 1.38.1, a vulnerability has been identified in Envoy's zstd decompressor implementation (ZstdDecompressorImpl). When zstd decompression is enabled, processing a specially crafted, highly compressed zstd payload can lead to massive memory allocation. An attacker can exploit this to cause severe memory exhaustion, potentially resulting in an Out-Of-Memory (OOM) kill and Denial of Service (DoS) for the Envoy proxy. This vulnerability is fixed in 1.35.11, 1.36.7, 1.37.3, and 1.38.1.

