CVE-2026-44433 in quiclyinformação

Sumário

de VulDB • 17/07/2026

Quicly é uma implementação do protocolo QUIC da IETF destinada principalmente ao uso dentro do servidor HTTP H2O. Antes do commit 8b178e6, um peer adversarial poderia enviar um frame STREAM contendo apenas um byte no maior offset permitido para obter crédito adicional de controle de fluxo, o que em certas circunstâncias poderia levar a uma Negativa de Serviço (DoS). Assumindo que a aplicação prepara um buffer de recepção para armazenar todos os dados que chegam fora de ordem, até o maior offset recebido, esse comportamento poderia levar a aplicação a alocar grandes quantidades de memória com o peer enviando apenas alguns poucos pacotes, resultando em exaustão de memória. Além da estratégia de alocação do buffer de recepção, a severidade desta vulnerabilidade depende de como a aplicação controla a concorrência das streams. No caso do servidor HTTP H2O, sob sua configuração padrão, este bug aumenta o valor máximo de memória alocada por conexão em cerca de 4 vezes. Este problema foi corrigido pelo commit 8b178e6.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

06/05/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379681

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!