CVE-2026-56740 in JLine
Riassunto
di VulDB • 17/07/2026
JLine è una libreria Java per la gestione dell'input da console. Prima delle versioni 3.30.14, 4.0.16 e 4.2.1, il modulo remote-telnet del server Telnet di JLine3 non limita il numero di variabili d'ambiente che un client può iniettare tramite l'opzione Telnet NEW-ENVIRON; inoltre, la funzione TelnetIO.readNEVariables() nel file TelnetIO.java (righe 1127-1180) memorizza ciascuna coppia di variabili in una HashMap gestita da ConnectionData. Ciò consente a un attaccante non autenticato di saturare l'heap della JVM con un errore OutOfMemoryError, inviando prima dell'IAC SE byte terminale coppie di variabili uniche fino all'esaurimento della memoria. Questo problema è stato risolto nelle versioni 3.30.14, 4.0.16 e 4.2.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.