CVE-2026-54399
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 — wyżej niż 33% wszystkich znanych CVE
Streszczenie
Podatność niekontrolowanego zużycia zasobów w parserze wiadomości HTTP/1.1 w Apache HttpComponents Core (wersje 5.4.2 i wcześniejsze, 5.5-beta1 i wcześniejsze) umożliwia zdalnemu atakującemu spowodowanie odmowy usługi poprzez wyczerpanie pamięci. Atak polega na wysyłaniu wiadomości z nadmierną liczbą nagłówków lub nadmierną długością nagłówków.
Ocena ryzyka
Organizacja narażona jest na ataki DoS, które mogą doprowadzić do niedostępności usług opartych na Apache HttpComponents Core, co może zakłócić działanie aplikacji i wpłynąć na ciągłość biznesową.
Rekomendacja
Należy niezwłocznie zaktualizować Apache HttpComponents Core do wersji 5.4.3 lub nowszej (po 5.5-beta1). Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do usług wykorzystujących tę bibliotekę oraz wdrożyć mechanizmy ograniczania liczby i długości nagłówków HTTP.
Oryginalny opis (angielski, źródło NVD)
Uncontrolled Resource Consumption vulnerability in the HTTP/1.1 message parser in Apache HttpComponents Core (5.4.2 and earlier, 5.5-beta1 and earlier) allows an remote attacker to cause a denial of service through memory exhaustion by sending messages with excessive number of headers / excessive header length

