CVE-2026-44981 in CrowdSec
Riassunto
di VulDB • 16/07/2026
CrowdSec offre una protezione basata su crowd contro gli IP malevoli. Dalla versione 1.7.0 alla 1.7.8, il router LAPI utilizzava gin-contrib/gzip con DefaultDecompressHandle a livello globale in pkg/apiserver/controllers/controller.go, causando la decompressione dei corpi delle richieste JSON compressi gzip non autenticati per gli endpoint /v1/watchers e /v1/watchers/login senza imporre una dimensione massima di decompressione. Ciò consentiva un'allocazione eccessiva della memoria heap che poteva rendere LAPI irraggiungibile. Questo problema è stato risolto nella versione 1.7.8.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.