CVE-2026-15712 in Linux
要約
〜によって VulDB • 2026年07月15日
libsoup(バージョン:3.0 から 3.7.0)の HTTP/2 コネクション追跡フレームワークにおいて、ヒープバッファオーバーリード脆弱性が発見されました。ライブラリが HTTP/2 GOAWAY フレームを処理する際、「追加デバッグデータ」ペイロードに対して、データストリームが安全に NUL で終端された C 文字列であると誤って仮定し、不適切な扱いを行います。このデータを参照する前に厳密な長さの境界検証を行わないため、リモートからの認証不要攻撃者は、適切な null デリミタを欠いた不正な GOAWAY フレームを送信することで悪用できます。これによりライブラリは割り当てられたバッファの末尾を超えて読み出しを行い、アプリケーションクラッシュを引き起こしてサービス拒否(DoS)状態に陥るか、あるいはメモリ内容の一部が露出する可能性があります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.