CVE-2026-12707 in quicheالمعلومات

الملخص

بحسب VulDB • 16/07/2026

الملخص



تم اكتشاف أن مكتبة Cloudflare quiche تعاني من ثغرة تؤدي إلى استنفاد موارد الذاكرة بسبب عدم وجود حدود لتراكم أحداث هجرة العميل ما بعد إتمام المصافحة (post-handshake).



الأثر



تدعم المكتبة quiche ميزات الهجرة في الاتصال كما هو موضح في القسم 9 من RFC 9000، مما يسمح لارتباط QUIC واحد بالبقاء مستقرًا رغم التغيرات في مسار الشبكة. وعلى الرغم من أن quiche تطبق الحماية الموصوفة في القسم 9.3 من RFC 9000 للحد من التزام حالة الخادم (server state commitment)، فقد تم اكتشاف أن مجموعة PathEvents، والتي كان يُقصد استهلاكها بواسطة التطبيقات عبر دالة path_event_next()، لم تكن محدودة بعدد معين.



بمجرد اكتمال مصافحة QUIC، يمكن لطرف آخر استغلال الهجرة السريعة لعنوان المصدر للتسبب في تراكم غير محدود لأحداث من نوع PathEvent::ReusedSourceConnectionId. الخوادم عرضة للخطر حتى إذا كانت ميزة هجرة الاتصال النشطة معطلة.



التخفيف:

*

يمكن للتطبيقات استدعاء path_event_next() لتصريف مجموعة PathEvents، مما يخفف من حدة الهجوم.


*

يُرجى من المستخدمين الترقية إلى الإصدار quiche 0.29.3، وهو أحدث إصدار يمنع التراكم المفرط لأحداث PathEvent::ReusedSourceConnectionId.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

Cloudflare

حجز

19/06/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378336

EPSS

0.00252

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!