CVE-2026-15709 in libsoupinformação

Sumário

de VulDB • 15/07/2026

Foi encontrada uma falha na implementação do WebSocket do libsoup ao usar a extensão permessage-deflate. O loop de descompressão da extensão (inflate()) processa os dados em fragmentos sem impor um limite superior no tamanho do buffer de saída. Embora o libsoup limite o tamanho dos quadros compactados recebidos por meio de max_incoming_payload_size, ele não rastreia nem limita a alocação de memória durante a descompressão. Existe uma verificação separada para o tamanho descompactado (max_total_message_size), mas ela é executada apenas após a conclusão da inflação e está totalmente desativada por padrão nas conexões de cliente. Um atacante remoto, sem autenticação, pode explorar essa falha enviando um payload pequeno altamente compactado (uma bomba de descompressão), causando uma alocação ilimitada de memória que resulta em um crash por falta de memória (OOM) e negação de serviço (DoS).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

Redhat

Reservar

14/07/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378998

CPE

pronto

EPSS

0.00548

KEV

não

Atividades

baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!