PT-2026-36897 · Unknown · Prometheus

Shadowbyte1

·

Publicado

2026-05-04

·

Atualizado

2026-05-25

·

CVE-2026-42154

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas Prometheus versões anteriores a 3.5.3 Prometheus versões anteriores a 3.11.3
Descrição O Prometheus é um sistema de monitoramento de código aberto e um banco de dados de séries temporais. O endpoint de leitura remota "/api/v1/read" não valida o comprimento decodificado declarado em um corpo de requisição compactado com snappy antes de alocar memória. Um invasor não autenticado pode enviar um payload pequeno que causa uma grande alocação de heap por requisição, o que pode esgotar a memória disponível e travar o processo do Prometheus sob carga concorrente.
Recomendações Atualizar para a versão 3.5.3. Atualizar para a versão 3.11.3.

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-789CWE-400

Identificadores relacionados

BIT-PROMETHEUS-2026-42154
CLEANSTART-2026-AP95632
CLEANSTART-2026-AX33738
CLEANSTART-2026-MV81821
CLEANSTART-2026-PM88731
CLEANSTART-2026-QS87161
CLEANSTART-2026-TL66481
CVE-2026-42154
GHSA-8RM2-7QQF-34QM
OPENSUSE-SU-2026:10676-1

Produtos afetados

Prometheus