CVE-2026-58465
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 42 — wyżej niż 42% wszystkich znanych CVE
Streszczenie
W Eclipse Wakaama przed snapshot/2026-05-26 odkryto podatność polegającą na nieograniczonym przydzielaniu pamięci w obsłudze bloków CoAP Block1 w pliku coap/block.c. Nieuwierzytelniony atakujący może wysłać serię żądań PUT z rosnącymi numerami bloków, co powoduje wielokrotną realokację bufora akumulacyjnego bez limitu rozmiaru, prowadząc do wyczerpania pamięci serwera.
Ocena ryzyka
Atakujący może zdalnie, bez uwierzytelnienia, doprowadzić do wyczerpania pamięci serwera poprzez wysłanie sekwencji żądań Block1 PUT na punkt końcowy rejestracji przez UDP, co skutkuje odmową usługi (DoS) i potencjalnym unieruchomieniem usługi.
Rekomendacja
Należy natychmiast zaktualizować Eclipse Wakaama do wersji snapshot/2026-05-26 lub nowszej, która zawiera poprawkę ograniczającą maksymalny rozmiar bufora akumulacyjnego w obsłudze bloków CoAP.
Oryginalny opis (angielski, źródło NVD)
Eclipse Wakaama before snapshot/2026-05-26 contains an unbounded memory allocation vulnerability in the CoAP Block1 handler within coap/block.c that allows unauthenticated remote attackers to exhaust server memory by sending a sequence of Block1 PUT requests with incrementing block numbers. Attackers can target the registration endpoint over UDP without authentication, causing the server to repeatedly reallocate a growing accumulation buffer by appending each block payload without enforcing any maximum total size limit, resulting in denial of service through memory exhaustion.

