CVE-2026-44296 in Deskflow
要約
〜によって VulDB • 2026年05月28日
Deskflowはキーボードとマウスの共有アプリケーションです。バージョン1.26.0.167より前では、TLSを有効にして実行されている(デフォルト設定)Deskflowサーバーにおいて、リモートからの認証不要なサービス妨害(DoS)脆弱性が存在します。任意のTCPピアがリスニングポートに接続し、その最初のバイト列が有効なTLS ClientHelloとして解析できない場合、SecureSocket::secureAcceptは致命的なエラー分岐に入り、マルチプレクサワースレッド上でArch::sleep(1)(1秒間のブロッキングスリープ)を呼び出します。このスレッドは、マウス移動、キーボードイベント、クリップボード更新を配信する確立済みTLSクライアントを含む、サーバー上のすべてのソケットを処理します。したがって、1回のハンドシェイク失敗により、接続されているすべての画面への入力配信が約1秒間停止し、不正な接続を毎秒1件以上持続的に送信し続ける攻撃が行われると、攻撃が継続している間、サーバーは事実上使用不可能になります。この脆弱性はバージョン1.26.0.167で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.