Katalog CVE

CVE-2026-50254

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 — wyżej niż 30% wszystkich znanych CVE

Streszczenie

Nieuwierzytelniony zdalny atakujący może wielokrotnie wysyłać pojedyncze spreparowane żądanie połączenia, powodując wyciek pamięci. W przypadku storescp w domyślnym trybie jednoprocesowym pamięć szybko rośnie, a usługa zostaje ostatecznie zabita, po czym przestaje akceptować połączenia do czasu ręcznego restartu przez operatora.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku DoS (Denial of Service) bez konieczności uwierzytelnienia, co może prowadzić do przerwania działania usługi i wymagać interwencji operatora w celu przywrócenia jej dostępności.

Rekomendacja

Zaleca się natychmiastową aktualizację oprogramowania storescp do wersji zawierającej poprawkę usuwającą podatność na wyciek pamięci. Do czasu aktualizacji należy rozważyć ograniczenie dostępu do usługi tylko dla zaufanych adresów IP lub zastosowanie dodatkowych mechanizmów ochrony przed atakami DoS.

Oryginalny opis (angielski, źródło NVD)

An unauthenticated remote attacker can repeatedly send a single crafted connection request to leak memory. Against storescp in its default single-process mode, memory grows quickly and the service is eventually killed, after which it stops accepting connections until an operator restarts it.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS