CVE-2026-14683
NiskieCVSS 3.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
W bibliotece HdrHistogram do wersji 2.2.2 wykryto podatność polegającą na niekontrolowanym przydzielaniu pamięci. Problem występuje w funkcji decodeFromCompressedByteBuffer w pliku AbstractHistogram.java, gdzie manipulacja argumentem lengthOfCompressedContents może prowadzić do nadmiernego zużycia pamięci. Atak wymaga dostępu lokalnego, a exploit jest już publicznie dostępny.
Ocena ryzyka
Organizacja narażona jest na ataki typu odmowa usługi (DoS) poprzez lokalne wyczerpanie pamięci systemowej, co może zakłócić działanie aplikacji korzystających z podatnej biblioteki.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę HdrHistogram do wersji 2.2.3 lub nowszej, jeśli jest dostępna. W przypadku braku łatki, ograniczyć dostęp lokalny do systemów wykorzystujących tę bibliotekę.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was detected in HdrHistogram up to 2.2.2. Affected by this issue is the function org.HdrHistogram.AbstractHistogram.decodeFromCompressedByteBuffer of the file src/main/java/org/HdrHistogram/AbstractHistogram.java. The manipulation of the argument lengthOfCompressedContents results in uncontrolled memory allocation. The attack needs to be approached locally. The exploit is now public and may be used. The project was informed of the problem early through an issue report but has not responded yet.

