CVE-2026-44433 in quiclyالمعلومات

الملخص

بحسب VulDB • 18/07/2026

Quicly هو تنفيذ لبروتوكول IETF QUIC مُصمم أساسًا للاستخدام داخل خادم الويب H2O HTTP. قبل الإصدار (commit) 8b178e6، كان بإمكان نظير خبيث إرسال إطار STREAM يحمل بايت واحد فقط عند أكبر إزاحة مسموح بها للحصول على رصيد إضافي للتحكم في التدفق، مما قد يؤدي في ظروف معينة إلى حدوث إنكار للخدمة (DoS). وبافتراض أن التطبيق يُعدّ مخزن استقبال لتخزين جميع البيانات التي تصل بترتيب غير متسلسل، حتى الوصول إلى أكبر إزاحة تم استلامها، فقد يؤدي هذا السلوك إلى قيام التطبيق بتخصيص كمية كبيرة من الذاكرة بينما يرسل النظير عددًا قليلاً جدًا من الحزم، مما ينتج عنه استنفاد للذاكرة. بالإضافة إلى استراتيجية تخصيص مخزن الاستقبال، تعتمد شدة هذه الثغرة على كيفية تحكم التطبيق في تزامن التدفقات (stream concurrency). وفي حالة خادم الويب H2O HTTP، تحت إعداداته الافتراضية، يزيد هذا الخطأ الحد الأقصى لكمية الذاكرة المُخصصة لكل اتصال بنسبة تقارب 4 أضعاف. تم إصلاح هذه المشكلة عبر الإصدار (commit) 8b178e6.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

06/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379681

EPSS

0.00247

KEV

لا

النشاطات

منخفض

المصادر

Want to know what is going to be exploited?

We predict KEV entries!