Katalog CVE

CVE-2026-54428

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.41%

Percentyl 33 — wyżej niż 33% wszystkich znanych CVE

Streszczenie

Podatność w dekoderze HPACK HTTP/2 w Apache HttpComponents Core (wersje 5.4.2 i wcześniejsze, 5.5-beta1 i wcześniejsze) pozwala zdalnemu atakującemu na wyczerpanie pamięci poprzez wysłanie nadmiernie dużych skompresowanych bloków nagłówków przed potwierdzeniem ustawień HTTP/2, co prowadzi do odmowy usługi (DoS).

Ocena ryzyka

Organizacja narażona jest na atak DoS, który może spowodować niedostępność usług opartych na Apache HttpComponents Core, prowadząc do przerw w działaniu aplikacji i potencjalnych strat finansowych.

Rekomendacja

Należy natychmiast zaktualizować Apache HttpComponents Core do wersji 5.4.3 lub nowszej (lub 5.5-beta2), która zawiera poprawkę ograniczającą rozmiar nagłówków przed potwierdzeniem ustawień HTTP/2.

Oryginalny opis (angielski, źródło NVD)

Allocation of resources without limits or throttling in the HTTP/2 HPACK decoder in Apache HttpComponents Core (5.4.2 and earlier, 5.5-beta1 and earlier) allows an remote attacker to cause a denial of service through memory exhaustion by sending oversized compressed header blocks before the HTTP/2 SETTINGS acknowledgement causes the configured header list size limit to be applied.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS