CVE-2026-40303

Name of the Vulnerable Software and Affected Versions zrok versões anteriores a 2.0.1

Description A função GetSessionCookie() no módulo endpoints analisa a contagem de fragmentos de cookie fornecida por um invasor e chama make([]string, count) sem um limite superior antes da validação do token. Isso ocorre em cada solicitação a um compartilhamento de proxy protegido por OAuth, afetando especificamente o publicProxy e o dynamicProxy. Um invasor remoto não autenticado pode enviar uma única solicitação HTTP com um cabeçalho Cookie manipulado para disparar alocações de heap em escala de gigabytes, levando à terminação do processo por falta de memória (OOM) ou pânicos repetidos de goroutine, o que resulta em negação de serviço para todos os usuários dos compartilhamentos atendidos pelo proxy.

Recommendations Atualizar para a versão 2.0.1.