Katalog CVE

CVE-2026-11586

Nieznane
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W curl domyślnie automatycznie odpowiada na ramki WebSocket PING. Z powodu braku górnego limitu alokacji pamięci dla niepotwierdzonych ramek, złośliwy serwer może wyczerpać całą dostępną pamięć, zalewając curl szybkimi, sekwencyjnymi komunikatami PING.

Ocena ryzyka

Atakujący serwer WebSocket może spowodować wyczerpanie pamięci w systemie klienckim, prowadząc do odmowy usługi (DoS) dla aplikacji korzystających z curl.

Rekomendacja

Zaleca się aktualizację curl do wersji, która wprowadza górny limit alokacji pamięci dla niepotwierdzonych ramek WebSocket PING. Należy również rozważyć ograniczenie zaufania do serwerów WebSocket.

Oryginalny opis (angielski, źródło NVD)

By default, curl automatically responds to WebSocket PING frames. Because curl lacks an upper bound on memory allocation for unacknowledged frames, a malicious server can exhaust all available memory by flooding curl with rapid, sequential PING messages.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS