CVE-2026-27135 in nghttp2información

Resumen

por MITRE • 2026-03-18

nghttp2 es una implementación del Protocolo de Transferencia de Hipertexto versión 2 en C. Antes de la versión 1.68.1, la biblioteca nghttp2 deja de leer los datos entrantes cuando la aplicación llama a la API pública orientada al usuario 'nghttp2_session_terminate_session' o 'nghttp2_session_terminate_session2'. Estas pueden ser llamadas internamente por la biblioteca cuando esta detecta una situación sujeta a error de conexión. Debido a la falta de validación del estado interno, la biblioteca sigue leyendo el resto de los datos después de que se llama a una de esas APIs. Luego, recibir una trama malformada que causa FRAME_SIZE_ERROR provoca un fallo de aserción. nghttp2 v1.68.1 añade la validación de estado faltante para evitar el fallo de aserción. No se conocen soluciones alternativas disponibles.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-02-17

Divulgación

2026-03-18

Moderación

aceptado

Artículo

VDB-351592

CPE

listo

EPSS

0.00030

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-27135
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-27135
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-27135/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!