CVE-2026-43970

Nome do Software Vulnerável e Versões Afetadas cowlib versões 0.1.0 até 2.16.0

Descrição O manuseio inadequado de dados altamente compactados leva à amplificação de dados, permitindo que um ator remoto não autenticado cause uma negação de serviço via exaustão de memória. A função cow spdy:inflate/2 passa bytes compactados de um peer para zlib:inflate/2 sem um limite de tamanho de saída. Como o dicionário de compressão de cabeçalho SPDY (?ZDICT) é público e o zlib pode compactar bytes repetidos em uma proporção de aproximadamente 1024:1, um pequeno payload de quadro SPDY pode ser descompactado em gigabytes no heap do BEAM, resultando em uma condição de falta de memória (OOM) que derruba o nó. Esta condição pode ser disparada por um único quadro SPDY não autenticado. A função cow spdy:parse headers/2 afeta os analisadores dos tipos de quadro syn stream, syn reply e headers. Este problema impacta especificamente aplicações que utilizam cow spdy:parse/2 para analisar quadros SPDY de peers não confiáveis.

Recomendações Atualize para a versão 2.16.1 ou posterior. Como mitigação temporária, restrinja o uso da função cow spdy:parse/2 ao lidar com dados de peers não confiáveis.