Katalog CVE

CVE-2026-31812

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.50%

Percentyl 39 - wyżej niż 39% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Quinn przed wersją 0.11.14 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wywołanie odmowy usługi (DoS) poprzez wysłanie spreparowanego pakietu QUIC Initial z nieprawidłowymi parametrami transportowymi. Błąd wynika z użycia funkcji unwrap() podczas dekodowania varintów, co prowadzi do paniki przy napotkaniu skróconego kodowania.

Ocena ryzyka

Atakujący może jednym pakietem, bez żadnej autoryzacji, doprowadzić do awarii aplikacji korzystającej z podatnej wersji Quinn, co skutkuje przerwaniem działania usługi i potencjalnymi stratami finansowymi lub operacyjnymi.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Quinn do wersji 0.11.14 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Quinn is a pure-Rust, async-compatible implementation of the IETF QUIC transport protocol. Prior to 0.11.14, a remote, unauthenticated attacker can trigger a denial of service in applications using vulnerable quinn versions by sending a crafted QUIC Initial packet containing malformed quic_transport_parameters. In quinn-proto parsing logic, attacker-controlled varints are decoded with unwrap(), so truncated encodings cause Err(UnexpectedEnd) and panic. This is reachable over the network with a single packet and no prior trust or authentication. This vulnerability is fixed in 0.11.14.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS