CVE-2026-49866 in libp2p
Zusammenfassung
von VulDB • 08.07.2026
libp2p ist eine JavaScript-Implementierung des libp2p-Networking-Stacks. Vor Version 16.0.0 waren maxIhaveMessageIDs und maxIwantMessageIDs für defaultDecodeRpcLimits in @libp2p/gossipsub auf Infinity festgelegt, was dazu führte, dass übermäßig große IHAVE- und IWANT-Control-Meldungsarrays in message/decodeRpc.ts und gossipsub.ts synchron etwa 180.000 Message IDs pro 4 MB-Frame durchlaufen wurden und den Node.js Event Loop blockierten. Dieses Problem wurde in Version 16.0.0 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.