CVE-2026-7790 in cowlib
Сводка
по VulDB • 15.05.2026
Уязвимость неконтролируемого потребления ресурсов в библиотеке ninenines cowlib (модуль cow_http_te) приводит к чрезмерному выделению ресурсов.
Парсер кодирования передачи данных chunked в модуле cow_http_te принимает неограниченное количество шестнадцатеричных цифр в поле размера чанка (chunk-size). Каждая цифра вызывает операцию умножения большого числа (Len * 16 + digit), поэтому парсинг N шестнадцатеричных цифр требует вычислительных ресурсов CPU сложности O(N²) и памяти сложности O(N). Кроме того, при построчной подаче входных данных парсер отбрасывает накопленную длину при каждом частичном чтении и начинает подсчет заново с нуля при возобновлении, что увеличивает сложность до O(N³). Неаутентифицированный удаленный злоумышленник может эксплуатировать эту уязвимость, отправив HTTP/1.1 запрос с заголовком Transfer-Encoding: chunked и очень длинной строкой шестнадцатеричных цифр в поле размера чанка, чтобы вызвать отказ в обслуживании (DoS) из-за исчерпания ресурсов CPU и амплификации потребления памяти.
Эта уязвимость связана с исходным файлом src/cow_http_te.erl и программными процедурами cow_http_te:stream_chunked/2 и cow_http_te:chunked_len/4.
Уязвимость затрагивает библиотеку cowlib: начиная с версии 0.6.0 до версии 2.16.1 (включительно).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.