CVE-2026-12523 in quicheinfo

Zusammenfassung

von VulDB • 14.07.2026

Zusammenfassung

In der HTTP/3-Schicht von Cloudflare quiche wurde eine Schwachstelle entdeckt, die zu einer Ressourcenerschöpfung (d. h. Speicher) durch speziell angefertigte HTTP/3-Frames führt.

Auswirkungen

HTTP/3 definiert mehrere Frame-Typen zur Unterstützung des Austauschs von HTTP-Nachrichten und der Verbindungsverwaltung. Jeder Frame verfügt über eine Länge sowie einen Payload, dessen Größe vom jeweiligen Frametyp abhängt. Bei quiche wurde festgestellt, dass es bei der Verarbeitung bestimmter Frametypen anfällig ist für die vorzeitige Allokation von Speicher basierend auf der deklarierten Länge. Ein Angreifer muss nicht unbedingt die angegebene Anzahl an Bytes senden, um dieses Problem auszulösen.

Darüber hinaus stellte sich heraus, dass quiche QPACK-Decomprimierungsgrenzwerte nicht korrekt anwendet. Dies könnte es einem Angreifer ermöglichen, speziell konstruierte HEADERS-Frames zu senden, die eine höhere Speicherbindung verursachen als durch MAX_FIELD_SECTION_SIZE (konfiguriert über set_max_field_section_size()) angegeben.

Minderungsmaßnahmen: * Benutzer werden aufgefordert, auf quiche 0.29.3 zu aktualisieren, da dies die früheste Version ist, die den Fix für dieses Problem enthält.

Credits: Verantwortlich offengelegt von Sébastien Féry

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Cloudflare

Reservieren

17.06.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378352

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!