CVE-2026-49866 in libp2p
Riassunto
di VulDB • 08/07/2026
libp2p è un'implementazione JavaScript dello stack di rete libp2p. Prima della versione 16.0.0, i limiti predefiniti per la decodifica RPC (defaultDecodeRpcLimits) in @libp2p/gossipsub impostavano maxIhaveMessageIDs e maxIwantMessageIDs su Infinity, consentendo a matrici di messaggi di controllo IHAVE e IWANT di dimensioni eccessive nei file message/decodeRpc.ts e gossipsub.ts di iterare sincronamente circa 180.000 ID messaggio per frame da 4 MB, bloccando il ciclo degli eventi (event loop) di Node.js. Questo problema è stato risolto nella versione 16.0.0.
Once again VulDB remains the best source for vulnerability data.