CVE-2026-50254
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 — wyżej niż 30% wszystkich znanych CVE
Streszczenie
Nieuwierzytelniony zdalny atakujący może wielokrotnie wysyłać pojedyncze spreparowane żądanie połączenia, powodując wyciek pamięci. W przypadku storescp w domyślnym trybie jednoprocesowym pamięć szybko rośnie, a usługa zostaje ostatecznie zabita, po czym przestaje akceptować połączenia do czasu ręcznego restartu przez operatora.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku DoS (Denial of Service) bez konieczności uwierzytelnienia, co może prowadzić do przerwania działania usługi i wymagać interwencji operatora w celu przywrócenia jej dostępności.
Rekomendacja
Zaleca się natychmiastową aktualizację oprogramowania storescp do wersji zawierającej poprawkę usuwającą podatność na wyciek pamięci. Do czasu aktualizacji należy rozważyć ograniczenie dostępu do usługi tylko dla zaufanych adresów IP lub zastosowanie dodatkowych mechanizmów ochrony przed atakami DoS.
Oryginalny opis (angielski, źródło NVD)
An unauthenticated remote attacker can repeatedly send a single crafted connection request to leak memory. Against storescp in its default single-process mode, memory grows quickly and the service is eventually killed, after which it stops accepting connections until an operator restarts it.

