CVE-2026-15709 in libsoupinfo

Zusammenfassung

von VulDB • 14.07.2026

Es wurde ein Fehler in der WebSocket-Implementierung von libsoup bei Verwendung der permessage-deflate-Erweiterung festgestellt. Der Dekomprimierungszyklus der Erweiterung (inflate()) verarbeitet Daten in Blöcken, ohne eine Obergrenze für die Größe des Ausgabepuffers durchzusetzen. Während libsoup die Größe des eingehenden komprimierten Frames über max_incoming_payload_size begrenzt, wird während der Dekomprimierung keine Überwachung oder Begrenzung der Speicherzuweisung durchgeführt. Eine separate Prüfung der dekomprimierten Größe (max_total_message_size) ist zwar vorhanden, wird jedoch erst nach Abschluss der Inflation ausgeführt und ist für Client-Verbindungen standardmäßig vollständig deaktiviert. Ein entfernter Angreifer ohne Authentifizierung kann dies ausnutzen, indem er eine kleine, stark komprimierte Nutzlast (eine Decompression Bomb) sendet, was zu einer unbegrenzten Speicherzuweisung führt, die einen Out-of-Memory-(OOM)-Absturz und einen Denial of Service (DoS) verursacht.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

Redhat

Reservieren

14.07.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378998

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!