CVE-2026-54428
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 — wyżej niż 33% wszystkich znanych CVE
Streszczenie
Podatność w dekoderze HPACK HTTP/2 w Apache HttpComponents Core (wersje 5.4.2 i wcześniejsze, 5.5-beta1 i wcześniejsze) pozwala zdalnemu atakującemu na wyczerpanie pamięci poprzez wysłanie nadmiernie dużych skompresowanych bloków nagłówków przed potwierdzeniem ustawień HTTP/2, co prowadzi do odmowy usługi (DoS).
Ocena ryzyka
Organizacja narażona jest na atak DoS, który może spowodować niedostępność usług opartych na Apache HttpComponents Core, prowadząc do przerw w działaniu aplikacji i potencjalnych strat finansowych.
Rekomendacja
Należy natychmiast zaktualizować Apache HttpComponents Core do wersji 5.4.3 lub nowszej (lub 5.5-beta2), która zawiera poprawkę ograniczającą rozmiar nagłówków przed potwierdzeniem ustawień HTTP/2.
Oryginalny opis (angielski, źródło NVD)
Allocation of resources without limits or throttling in the HTTP/2 HPACK decoder in Apache HttpComponents Core (5.4.2 and earlier, 5.5-beta1 and earlier) allows an remote attacker to cause a denial of service through memory exhaustion by sending oversized compressed header blocks before the HTTP/2 SETTINGS acknowledgement causes the configured header list size limit to be applied.

