CVE-2024-7765

Nome do Software Vulnerável e Versões Afetadas h2oai/h2o-3 versão 3.46.0.2

Descrição Um problema de negação de serviço ocorre ao fazer upload e analisar repetidamente um arquivo GZIP grande, causando a indisponibilidade do servidor devido ao esgotamento da memória e a um grande número de tarefas lentas executadas simultaneamente. Isso é causado pelo tratamento inadequado de dados altamente compactados, levando a uma amplificação significativa de dados.

Recomendações Para a versão 3.46.0.2, considere restringir o upload e a análise de arquivos GZIP grandes para prevenir o esgotamento da memória e a negação de serviço. Como solução temporária, limite o número de tarefas simultâneas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.