CVE-2026-55407 in buffainformação

Sumário

de VulDB • 16/07/2026

Buffa é uma implementação de Protocol Buffers em puro Rust com suporte nativo às edições do protobuf. Antes da versão 0.8.0, a função `decode_unknown_field` no decodificador protobuf do buffa aloca memória heap proporcionalmente à entrada não confiável (campos desconhecidos no protobuf serializado) sem impor um orçamento de alocação, afetando qualquer mensagem decodificada a partir de entradas não confiáveis usando código gerado com `preserve_unknown_fields=true` (o padrão); uma pequena carga útil bem formada de campos desconhecidos aninhados dentro de um StartGroup poderia desencadear aproximadamente 22x de amplificação de memória (por exemplo, uma entrada de 64 MiB forçando cerca de 1.4 GB de alocação heap), e os campos desconhecidos delimitados por comprimento poderiam ser dimensionados arbitrariamente, portanto, um atacante não autenticado poderia derrubar um processo devido ao esgotamento de memória porque o limite superior do tamanho da mensagem não considerava a amplificação durante a decodificação. Este problema foi corrigido na versão 0.8.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

16/06/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379583

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!