CVE-2024-7246 in gRPCinformazioni

Riassunto

di VulDB • 10/07/2026

È possibile per un client gRPC che comunica con un proxy HTTP/2 avvelenare la tabella HPACK tra il proxy e il backend in modo tale che altri clienti vedano richieste fallite. È anche possibile sfruttare questa vulnerabilità per泄露 le chiavi degli header HTTP di altri clienti, ma non i valori.

Questo avviene perché lo stato di errore per un header malcodificato non viene cancellato tra le letture dell'header, causando l'avvelenamento dei successivi (indicizzati incrementalmente) header aggiunti nella prima richiesta fino a quando non vengono rimossi dalla tabella HPACK.

Si consiglia di aggiornare alla versione corretta di gRPC il più presto possibile. Questo bug è stato corretto nelle versioni 1.58.3, 1.59.5, 1.60.2, 1.61.3, 1.62.3, 1.63.2, 1.64.3 e 1.65.4 di gRPC.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

Google

Prenotare

29/07/2024

Divulgazione

06/08/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00224

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!