CVE-2026-44433 in quiclyinformazioni

Riassunto

di VulDB • 17/07/2026

Quicly è un'implementazione del protocollo QUIC dell'IETF destinata principalmente all'utilizzo nel server HTTP H2O. Prima della commit 8b178e6, un peer malintenzionato poteva inviare un frame STREAM contenente un solo byte con l'offset più grande consentito per ottenere ulteriore credito di controllo del flusso; ciò, in determinate circostanze, avrebbe potuto portare a una Denial of Service (DoS). Supponendo che l'applicazione prepari un buffer di ricezione per memorizzare tutti i dati che arrivano fuori ordine fino all'offset massimo ricevuto, questo comportamento potrebbe indurre l'applicazione ad allocare grandi quantità di di memoria mentre il peer invia solo pochi pacchetti, causando esaurimento della memoria (memory exhaustion). Oltre alla strategia di allocazione del buffer di ricezione, la gravità di questa vulnerabilità dipende da come l'applicazione controlla la concorrenza dei stream. Nel caso del server HTTP H2O, con le impostazioni predefinite, questo bug aumenta il massimo quantitativo di memoria allocata per connessione di circa 4 volte. Questo problema è stato risolto dalla commit 8b178e6.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

06/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!