Katalog CVE

CVE-2026-49017

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 - wyżej niż 24% wszystkich znanych CVE

Streszczenie

W OpenStack Swift przed wersjami 2.36.2 i 2.37.2, middleware s3api wchodzi w nieskończoną pętlę podczas przetwarzania skróconego ciała żądania PUT w formacie aws-chunked. Klasa StreamingInput wielokrotnie dodaje pusty bufor i ponownie odczytuje, co prowadzi do trwałej nieodpowiedzialności serwera proxy.

Ocena ryzyka

Zautoryzowany atakujący może systematycznie wyczerpać wszystkie pracowniki serwera proxy, co skutkuje odmową usługi. Wzrost zużycia CPU i pamięci może prowadzić do poważnych problemów z dostępnością usług.

Rekomendacja

Zaleca się aktualizację OpenStack Swift do wersji 2.36.2 lub 2.37.2, aby usunąć tę podatność i zapobiec potencjalnym atakom typu denial of service.

Oryginalny opis (angielski, źródło NVD)

In OpenStack Swift before 2.36.2 and 2.37.2, s3api middleware enters an infinite loop when processing a truncated aws-chunked PUT request body. The StreamingInput class repeatedly appends an empty buffer and re-reads, causing the proxy-server worker handling the request to become permanently unresponsive with increasing CPU and memory consumption. An authenticated attacker can systematically exhaust all proxy-server workers, resulting in denial of service. The defect was introduced in Swift 2.36.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS