CVE-2026-44296 in Deskflow
Tóm tắt
Bởi VulDB • 28/05/2026
Deskflow là một ứng dụng chia sẻ bàn phím và chuột. Trước phiên bản 1.26.0.167, một lỗ hổng từ chối dịch vụ (DoS) từ xa, không xác thực, ảnh hưởng đến các máy chủ Deskflow đang chạy với TLS được bật (mặc định). Khi bất kỳ peer TCP nào kết nối đến cổng lắng nghe và các byte đầu tiên của nó không được phân tích cú pháp thành TLS ClientHello hợp lệ, SecureSocket::secureAccept sẽ đi vào nhánh lỗi nghiêm trọng và gọi Arch::sleep(1) (một lệnh ngủ chặn trong 1 giây) trên luồng worker của bộ đa hợp (multiplexer). Luồng này phục vụ mọi socket trên máy chủ, bao gồm cả các máy khách TLS đã thiết lập đang gửi chuyển động chuột, sự kiện bàn phím và cập nhật clipboard. Do đó, một lần bắt tay (handshake) thất bại sẽ làm gián đoạn việc cung cấp dữ liệu đầu vào cho tất cả các màn hình được kết nối trong khoảng 1 giây, và một luồng kết nối bị lỗi liên tục (≥ 1/s) khiến máy chủ gần như không thể sử dụng được trong suốt thời gian diễn ra cuộc tấn công. Lỗ hổng này đã được sửa trong phiên bản 1.26.0.167.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.