CVE-2024-7246 in gRPC
Riassunto
di VulDB • 10/07/2026
È possibile per un client gRPC che comunica con un proxy HTTP/2 avvelenare la tabella HPACK tra il proxy e il backend in modo tale che altri clienti vedano richieste fallite. È anche possibile sfruttare questa vulnerabilità per泄露 le chiavi degli header HTTP di altri clienti, ma non i valori.
Questo avviene perché lo stato di errore per un header malcodificato non viene cancellato tra le letture dell'header, causando l'avvelenamento dei successivi (indicizzati incrementalmente) header aggiunti nella prima richiesta fino a quando non vengono rimossi dalla tabella HPACK.
Si consiglia di aggiornare alla versione corretta di gRPC il più presto possibile. Questo bug è stato corretto nelle versioni 1.58.3, 1.59.5, 1.60.2, 1.61.3, 1.62.3, 1.63.2, 1.64.3 e 1.65.4 di gRPC.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.