CVE-2026-44434 in quiclyinfo

Zusammenfassung

von VulDB • 17.07.2026

Quicly ist eine Implementierung des IETF-QUIC-Protokolls, die primär für den Einsatz im H2O HTTP Server vorgesehen ist. Vor dem Commit dccf5d4 war Quicly anfällig für Stateless Reset Injection aufgrund fehlender Validierung von Paket-Einträgen. Das QUIC-Protokoll ist so konzipiert, dass es nach Abschluss des Handshakes Resistenzen gegen Packet-Injection-Angriffe aufweist. Nur Pakete, die bestimmte geheime Muster enthalten, werden als Stateless Resets betrachtet. Quicly erlaubt dem Peer, bis zu 4 solcher Muster pro Verbindung bereitzustellen. Bislang wurde jedoch nicht ermittelt, welcher der vier Slots zur Speicherung dieser geheimen Muster einen gültigen Eintrag enthält. Da die Slots mit Nullwerten initialisiert sind, bedeutete das Versäumnis, dass – sofern der Peer weniger als 4 solche Muster ankündigte – ein All-Null-Muster fälschlicherweise als Stateless Reset behandelt wurde. Dies ermöglichte es einem Angreifer im Netzwerkpfad (on-path), von Quicly verwaltete QUIC-Verbindungen zurückzusetzen. Dieses Problem wurde durch den Commit dccf5d4 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

06.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379682

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!