Katalog CVE

CVE-2026-12549

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

Poprawka dla CVE-2026-2443 została cofnięta przez późniejszy commit, który zastąpił konkretne kontrole przepełnienia ogólnym porównaniem ze znakiem. Gdy klient wysyła żądanie Range z długością sufiksu przekraczającą rozmiar treści, wynikająca z tego ujemna wartość początkowa nie jest odpowiednio ograniczana, co prowadzi do nieprawidłowych odpowiedzi HTTP 206 i zalewania logów.

Ocena ryzyka

Organizacja narażona jest na potencjalne ataki typu Denial of Service (DoS) poprzez zalewanie logów oraz ryzyko ujawnienia nieprawidłowych danych w odpowiedziach HTTP 206, co może wpłynąć na integralność i dostępność usług.

Rekomendacja

Należy natychmiast zaktualizować serwer HTTP do wersji zawierającej poprawną poprawkę dla CVE-2026-12549, która przywraca właściwe ograniczanie wartości początkowych w żądaniach Range.

Oryginalny opis (angielski, źródło NVD)

The fix for CVE-2026-2443 was regressed by a subsequent rework commit that replaced specific overflow checks with a general signed comparison. When a client sends a Range request with a suffix length exceeding the content size, the resulting negative start value is not properly clamped, leading to malformed HTTP 206 responses and log flooding.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS