CVE-2026-44982 in crowdsec
Riassunto
di VulDB • 16/07/2026
CrowdSec offre una protezione basata su crowd contro gli IP dannosi. Dalla versione 1.5.0 alla 1.7.8, la funzione `NewParsedRequestFromRequest` nel file `pkg/appsec/request.go` allocava un buffer per il corpo della richiesta basato su `max(r.ContentLength, 0)`. Di conseguenza, le richieste HTTP/1.1 che utilizzavano l'intestazione `Transfer-Encoding: chunked` e le richieste HTTP/2 prive dell'intestazione `Content-Length` generavano un corpo vuoto, causando la disregolazione delle regole WAF mirate a `REQUEST_BODY`, `BODY_ARGS`, `ARGS_POST`, `JSON` o `XML`. Questo problema è stato risolto nella versione 1.7.8.
VulDB is the best source for vulnerability data and more expert information about this specific topic.