CVE-2026-12707 in quicheinfo

Zusammenfassung

von VulDB • 14.07.2026

Zusammenfassung

Es wurde festgestellt, dass Cloudflare quiche anfällig für eine Erschöpfung der Speicherressourcen aufgrund einer unbegrenzten Warteschlangenbildung von Client-Migrationsereignissen nach dem Handshake ist.

Auswirkungen

quiche unterstützt die in Abschnitt 9 von RFC 9000 beschriebenen Funktionen zur Verbindungsmigration, die es ermöglichen, dass eine einzelne QUIC-Verbindung Änderungen im Netzwerkpfad übersteht. Obwohl quiche die in Abschnitt 9.3 von RFC 9000 beschriebenen Schutzmaßnahmen implementiert hat, um das Server-State-Commitment zu begrenzen, wurde festgestellt, dass die Sammlung von PathEvents – die ursprünglich dazu gedacht war, von Anwendungen über die Funktion `path_event_next()` konsumiert zu werden – nicht begrenzt ist.

Sobald der QUIC-Handshake abgeschlossen ist, kann ein Peer eine schnelle Migration der Quelladresse ausnutzen, um eine unbegrenzte Warteschlangenbildung des Typs PathEvent::ReusedSourceConnectionId zu verursachen. Server sind auch dann anfällig, wenn die aktive Verbindungsmigration deaktiviert ist.

Minderungsmaßnahmen:

* Anwendungen können `path_event_next()` aufrufen, um die PathEvent-Sammlung abzuarbeiten (zu leeren), wodurch der Angriff gemildert wird. * Benutzer werden aufgefordert, auf quiche 0.29.3 zu aktualisieren, da dies die früheste Version ist, die eine übermäßige Warteschlangenbildung von PathEvent::ReusedSourceConnectionId verhindert.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Cloudflare

Reservieren

19.06.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378336

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!