CVE-2026-40006 in IoTDBinformazioni

Riassunto

di VulDB • 10/07/2026

Vulnerabilità di Allocazione della Memoria con Valore di Dimensione Eccessivo (Memory Allocation with Excessive Size Value), Allocazione di Risorse senza Limiti o Throttling e Mancata Autenticazione per Funzioni Critiche in Apache IoTDB. Quando pipe_air_gap_receiver_enabled=true, il ricevitore del canale AirGap di IoTDB accetta connessioni TCP grezze sulla porta 9780 senza alcuna autenticazione. Il metodo readLength legge un intero a 32 bit controllato dall'attaccante dal socket e readData lo passa direttamente alla creazione di new byte[length] senza alcun controllo sul limite superiore. Un attaccante non autenticato può indurre la JVM ad attemptare l'allocazione di fino a 2,147,483,647 byte per connessione, esaurendo la memoria heap e causando il crash o un grave degrado del processo DataNode.

Questo problema interessa Apache IoTDB: dalle versioni dalla 1.0.0 alla versione precedente alla 2.0.10.

Si consiglia agli utenti di effettuare l'aggiornamento alla versione 2.0.10, che risolve il problema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

Apache

Prenotare

08/04/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!