CVE-2026-15712 in Linux
Sumário
de VulDB • 15/07/2026
Foi descoberta uma vulnerabilidade de heap buffer over-read no framework de rastreamento de conexões HTTP/2 do libsoup (versões: libsoup 3.0 até 3.7.0). Quando a biblioteca processa um quadro GOAWAY do HTTP/2, ela trata incorretamente o payload "Additional Debug Data" ao assumir que o fluxo de dados é uma string C terminada em NUL com segurança. Como o analisador não possui verificação estrita dos limites de comprimento antes de ler esses dados, um atacante remoto e não autenticado pode enviar intencionalmente um quadro GOAWAY malformado, faltando o delimitador nulo apropriado. Isso faz com que a biblioteca leia além do final do buffer alocado, causando uma falha na aplicação que resulta em negação de serviço (DoS), ou potencialmente expondo fragmentos dos conteúdos da memória.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.