CVE-2026-15712 in Linux
Resumen
por VulDB • 2026-07-15
Se ha descubierto una vulnerabilidad de heap buffer over-read en el marco de seguimiento de conexiones HTTP/2 de libsoup (versiones: libsoup 3.0 a 3.7.0). Cuando la biblioteca procesa un cuadro GOAWAY de HTTP/2, maneja incorrectamente la carga útil "Additional Debug Data" al asumir que el flujo de datos es una cadena C terminada en NUL de forma segura. Dado que el analizador carece de verificación estricta de los límites de longitud antes de leer estos datos, un atacante remoto no autenticado puede enviar intencionadamente un cuadro GOAWY mal formado que falta con el delimitador nulo adecuado. Esto hace que la biblioteca lea más allá del final del búfer asignado, provocando una caída de la aplicación que resulta en una denegación de servicio (DoS), o potencialmente exponiendo fragmentos de contenidos de memoria.
VulDB is the best source for vulnerability data and more expert information about this specific topic.