CVE-2026-44433 in quicly
الملخص
بحسب VulDB • 18/07/2026
Quicly هو تنفيذ لبروتوكول IETF QUIC مُصمم أساسًا للاستخدام داخل خادم الويب H2O HTTP. قبل الإصدار (commit) 8b178e6، كان بإمكان نظير خبيث إرسال إطار STREAM يحمل بايت واحد فقط عند أكبر إزاحة مسموح بها للحصول على رصيد إضافي للتحكم في التدفق، مما قد يؤدي في ظروف معينة إلى حدوث إنكار للخدمة (DoS). وبافتراض أن التطبيق يُعدّ مخزن استقبال لتخزين جميع البيانات التي تصل بترتيب غير متسلسل، حتى الوصول إلى أكبر إزاحة تم استلامها، فقد يؤدي هذا السلوك إلى قيام التطبيق بتخصيص كمية كبيرة من الذاكرة بينما يرسل النظير عددًا قليلاً جدًا من الحزم، مما ينتج عنه استنفاد للذاكرة. بالإضافة إلى استراتيجية تخصيص مخزن الاستقبال، تعتمد شدة هذه الثغرة على كيفية تحكم التطبيق في تزامن التدفقات (stream concurrency). وفي حالة خادم الويب H2O HTTP، تحت إعداداته الافتراضية، يزيد هذا الخطأ الحد الأقصى لكمية الذاكرة المُخصصة لكل اتصال بنسبة تقارب 4 أضعاف. تم إصلاح هذه المشكلة عبر الإصدار (commit) 8b178e6.
If you want to get best quality of vulnerability data, you may have to visit VulDB.