Katalog CVE

CVE-2026-58055

Średnie
Opublikowano: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Podatność w nghttp2 nghttpx do wersji 1.69.0 powoduje, że żądanie HTTP/1.1 Upgrade zawierające nagłówek Content-Length i ciało jest przekazywane na ponownie używane połączenia backendowe. Backend interpretujący tę niejednoznaczną wiadomość na korzyść atakującego umożliwia przemycanie żądań/odpowiedzi HTTP oraz zatruwanie kolejki odpowiedzi między klientami.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przechwytywania lub modyfikowania ruchu między klientami a backendem, co prowadzi do naruszenia poufności i integralności danych oraz potencjalnego ataku na innych użytkowników.

Rekomendacja

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS