CVE-2026-44545
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
Daphne w wersjach przed 4.2.2 nie przekazywał wartości maxFramePayloadSize ani maxMessagePayloadSize do WebSocketServerFactory Autobahna. Domyślne ustawienia Autobahna dla obu wartości wynoszą 0 (bez limitu), co pozwala nieautoryzowanemu zdalnemu atakującemu na wysyłanie dowolnie dużych wiadomości lub ramek WebSocket, co prowadzi do nadmiernego zużycia pamięci i odmowy usługi.
Ocena ryzyka
Organizacja może być narażona na ataki typu denial of service, które mogą prowadzić do przestojów w działaniu aplikacji oraz zwiększonego zużycia zasobów systemowych.
Rekomendacja
Zaleca się aktualizację Daphne do wersji 4.2.2 lub nowszej, aby zabezpieczyć się przed tym problemem oraz skonfigurowanie odpowiednich limitów dla wiadomości WebSocket.
Oryginalny opis (angielski, źródło NVD)
daphne before 4.2.2 did not pass maxFramePayloadSize or maxMessagePayloadSize to Autobahn's WebSocketServerFactory. Because Autobahn defaults both values to 0 (unlimited), an unauthenticated remote attacker could send arbitrarily large WebSocket messages or frames, causing excessive memory consumption and a denial of service.

