Katalog CVE

CVE-2026-53430

WysokieCVSS 8.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Podatność CVE-2026-53430 dotyczy niewłaściwego przetwarzania silnie skompresowanych danych w elixir-grpc, co może prowadzić do ataku typu denial of service za pomocą bomby dekompresyjnej gzip.

Ocena ryzyka

Organizacja może doświadczyć awarii usług z powodu wyczerpania pamięci HEAP w węźle BEAM, co może prowadzić do przerwy w dostępności aplikacji.

Rekomendacja

Zaleca się aktualizację elixir-grpc do wersji 1.0.0 lub nowszej, aby zniwelować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

Improper Handling of Highly Compressed Data (Data Amplification) vulnerability in elixir-grpc grpc (GRPC.Compressor.Gzip, GRPC.Message modules) allows a denial of service via a gzip decompression bomb. This vulnerability is associated with program files lib/grpc/compressor/gzip.ex, lib/grpc/message.ex and program routines 'Elixir.GRPC.Compressor.Gzip':decompress/1, 'Elixir.GRPC.Message':from_data/2. 'Elixir.GRPC.Compressor.Gzip':decompress/1 calls :zlib.gunzip/1 directly on attacker-controlled bytes with no decompressed-size limit, ratio check, or incremental decoding. Because this module is the registered gzip GRPC.Compressor implementation, it is invoked automatically whenever an incoming gRPC frame carries the grpc-encoding: gzip header. :zlib.gunzip/1 allocates the entire decompressed result as a single binary, so a small highly compressible payload (for example a few kilobytes of zeros, which gzip compresses at roughly 1000:1) expands to multiple gigabytes inside a single call. The max_receive_message_length limit is enforced only against the already-decompressed message, so it provides no protection. An unauthenticated remote peer can send a single crafted frame to exhaust the BEAM node's heap and trigger an out-of-memory kill. This issue affects grpc: from 0.4.0 before 1.0.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS