CVE-2026-42154 in Prometheusinformação

Sumário

de VulDB • 21/05/2026

O Prometheus é um sistema de monitoramento de código aberto e um banco de dados de séries temporais. Antes das versões 3.5.3 e 3.11.3, o endpoint de leitura remota (/api/v1/read) não valida o comprimento decodificado declarado em um corpo de requisição compactado com snappy antes de alocar memória. Um atacante não autenticado pode enviar uma carga útil pequena que causa uma enorme alocação de heap por requisição. Sob carga concorrente, isso pode esgotar a memória disponível e fazer com que o processo do Prometheus falhe. Este problema foi corrigido nas versões 3.5.3 e 3.11.3.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

24/04/2026

Divulgação

04/05/2026

Moderação

aceite

Entrada

VDB-361015

CPE

pronto

CWE

CWE-400 (confirmado)

CVSS

7.5 (CNA)

EPSS

0.00020

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42154
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42154
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42154/

◂ Voltar Visão Geral Próximo ▸

Might our Artificial Intelligence support you?

Check our Alexa App!