PT-2026-32183 · Unknown · Varnish Enterprise+1
Publicado
2026-04-12
·
Atualizado
2026-04-13
·
CVE-2026-40394
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Name of the Vulnerable Software and Affected Versions
Varnish Cache versões anteriores a 9.0.1
Varnish Enterprise versões anteriores a 6.0.16r11
Description
Varnish Cache e Varnish Enterprise são suscetíveis a uma negação de serviço (pânico do daemon) devido a um estouro de espaço de trabalho. Isso ocorre ao lidar com certas quantidades de dados pré-buscados durante uma atualização de sessão HTTP/2 do HTTP/1. Especificamente, a reutilização de uma solicitação HTTP/1 como stream zero durante o processo de atualização pode levar a uma alocação de buffer que divide o espaço de trabalho. Operações de busca subsequentes com pipelining podem então esgotar o espaço de trabalho disponível.
Recommendations
Atualize o Varnish Cache para a versão 9.0.1 ou posterior.
Atualize o Varnish Enterprise para a versão 6.0.16r11 ou posterior.
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Varnish Cache
Varnish Enterprise