CVE-2026-44697

Nome do Software Vulnerável e Versões Afetadas Klever-Go versões anteriores a 1.7.17

Descrição Um problema de negação de serviço remoto e não autenticado existe na função Batch.Decompress em data/batch/batch.go. Isso permite que qualquer peer participante em um tópico atendido pelo MultiDataInterceptor provoque alocações de heap de vários gigabytes em um nó receptor usando um payload de gossip menor que 50 KiB. O problema decorre de uma operação io.ReadAll sem limites na função decompressGzip e da falta de validação da variável ba.DataSize durante a descompressão. Um único pacote malicioso pode fazer com que um validador trave devido a condições de falta de memória (OOM), e um ataque em toda a frota pode comprometer a vitalidade da rede.

Recomendações Atualize para a versão 1.7.17.