Katalog CVE

CVE-2026-49140

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Nanobot przed wersją 0.2.1 zawiera podatność na odmowę usługi w obsłudze pobierania mediów kanału Matrix, która pozwala uwierzytelnionym członkom pokoju na wyczerpanie pamięci procesora i pasma, wysyłając zdarzenia multimedialne z brakującymi lub nieprawidłowymi metadanymi rozmiaru. Atakujący mogą wysyłać wiele równoczesnych zdarzeń multimedialnych Matrix z pominiętymi lub nieprawidłowymi zadeklarowanymi rozmiarami, co prowadzi do jednoczesnych dużych pobrań mediów.

Ocena ryzyka

Podatność ta może prowadzić do degradacji usług w organizacji, co wpływa na dostępność systemu i może zakłócać pracę użytkowników. Wyczerpanie zasobów procesora i pasma może skutkować poważnymi problemami z wydajnością.

Rekomendacja

Zaleca się aktualizację Nanobota do wersji 0.2.1 lub nowszej, aby usunąć tę podatność. Dodatkowo warto monitorować i ograniczać ilość równoczesnych zdarzeń multimedialnych wysyłanych przez użytkowników.

Oryginalny opis (angielski, źródło NVD)

Nanobot prior to version 0.2.1 contains a denial of service vulnerability in the Matrix channel media download handler that allows authenticated room members to exhaust process memory and bandwidth by sending media events with missing or invalid size metadata. Attackers can send multiple concurrent Matrix media events with omitted or invalid declared sizes to trigger simultaneous large media downloads that fully materialize response bodies before post-download rejection, consuming process resources until service degradation occurs.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS