Katalog CVE

CVE-2026-48854

WysokieCVSS 8.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Podatność w elixir-grpc grpc pozwala nieautoryzowanym atakującym na wyczerpanie pamięci BEAM i awarię serwera poprzez przesyłanie dużych lub wolno przesyłających się żądań. Brak limitów rozmiaru dla akumulowanych danych oraz nieskończony czas oczekiwania na odczyt chunków umożliwia niekontrolowany wzrost pamięci.

Ocena ryzyka

Organizacja może doświadczyć awarii serwera z powodu wyczerpania pamięci, co prowadzi do przerwy w dostępności usług. Atakujący mogą wykorzystać tę podatność do zakłócenia działania systemu.

Rekomendacja

Zaleca się wprowadzenie limitów rozmiaru dla przesyłanych danych oraz ustawienie odpowiednich limitów czasowych dla połączeń. Należy również zaktualizować grpc do wersji 1.0.0 lub nowszej.

Oryginalny opis (angielski, źródło NVD)

Allocation of Resources Without Limits or Throttling vulnerability in elixir-grpc grpc allows unauthenticated attackers to exhaust the BEAM's memory and crash the server by streaming a large or slow-trickle unary request body. 'Elixir.GRPC.Server.Adapters.Cowboy.Handler':read_full_body/3 (lib/grpc/server/adapters/cowboy/handler.ex) accumulates every received chunk into a single growing binary with no size cap. Additionally, when the client omits the grpc-timeout header, the per-chunk read timeout resolves to :infinity, allowing a slow-trickle client to keep the connection alive indefinitely while memory grows. A single connection is sufficient to exhaust server memory and crash the node. This issue affects grpc from 0.3.1 before 1.0.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS