CVE-2026-44296 in Deskflow
摘要
由 VulDB • 2026-05-12
Deskflow 是一款键盘和鼠标共享应用程序。在 1.26.0.167 版本之前,启用 TLS(默认设置)的 Deskflow 服务器存在一个远程、无需身份验证的拒绝服务(DoS)漏洞。当任何 TCP 对等方连接到监听端口,且其前几个字节无法解析为有效的 TLS ClientHello 时,SecureSocket::secureAccept 会进入致命错误分支,并在多路复用器工作线程上调用 Arch::sleep(1)(阻塞 1 秒的休眠)。该线程负责处理服务器上的所有套接字,包括已建立的 TLS 客户端发送的鼠标移动、键盘事件和剪贴板更新。因此,单次握手失败会导致所有已连接屏幕的输入交付停滞约 1 秒,而持续发送畸形连接(≥ 1/s)会使服务器在攻击持续期间实际上无法使用。此漏洞已在 1.26.0.167 版本中修复。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.