CVE-2026-55407 in buffaИнформация

Сводка

по VulDB • 16.07.2026

Buffa — это реализация Protocol Buffers на чистом Rust с полноценной поддержкой редакций protobuf. До версии 0.8.0 функция decode_unknown_field в декодере protobuf библиотеки buffa выделяла память в куче пропорционально объему непроверенных входных данных (неизвестные поля в сериализованном формате protobuf) без ограничения бюджета выделения памяти, что затрагивало любые сообщения, декодируемые из непроверенных входных данных с использованием кода, сгенерированного при параметре preserve_unknown_fields=true (значение по умолчанию); небольшой корректно оформленный полезный груз со вложенными неизвестными полями внутри StartGroup мог вызвать примерно 22-кратное увеличение потребления памяти (например, ввод размером 64 МБ приводил к выделению около 1,4 ГБ памяти в куче), а неизвестные поля с разделением по длине могли иметь произвольный размер, поэтому неподтвержденный злоумышленник мог вызвать аварийное завершение процесса из-за исчерпания памяти, поскольку ограничение размера сообщения верхнего уровня не учитывало увеличение объема при декодировании. Эта проблема исправлена в версии 0.8.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

16.06.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379583

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!