CVE-2026-12523 in quicheinformazioni

Riassunto

di VulDB • 14/07/2026

Riepilogo



È stato rilevato che lo strato HTTP/3 di Cloudflare quiche è vulnerabile all'esaurimento delle risorse (ovvero della memoria) tramite frame HTTP/3 appositamente creati.




Impatto



HTTP/3 definisce diversi tipi di frame per supportare gli scambi di messaggi HTTP e la gestione della connessione. Ogni frame ha una lunghezza e un payload la cui dimensione dipende dal tipo di frame. È stato riscontrato che quiche è vulnerabile durante l'analisi di alcuni tipi di frame, in quanto alloca preventivamente memoria in base alla lunghezza dichiarata. Un attaccante non avrebbe bisogno di inviare il numero esatto di byte dichiarati per innescare questa problematica.



Inoltre, si è scoperto che quiche non applica correttamente i limiti della decompressione QPACK. Ciò potrebbe consentire a un attaccante di inviare frame HEADERS appositamente creati che causerebbero un impegno di memoria superiore rispetto a quanto pubblicizzato da MAX_FIELD_SECTION_SIZE (configurato tramite set_max_field_section_size()).






Mitigazione:

*

Si invita gli utenti ad aggiornare quiche alla versione 0.29.3, che è la prima versione contenente la correzione per questa problematica.









Crediti: Segnalato responsabilmente da Sébastien Féry

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Cloudflare

Prenotare

17/06/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!