CVE-2026-44981

Nome do Software Vulnerável e Versões Afetadas CrowdSec LAPI (versões afetadas não especificadas)

Descrição O roteador LAPI utiliza o middleware gin-contrib/gzip com DefaultDecompressHandle globalmente em pkg/apiserver/controllers/controller.go. Este middleware descompacta corpos de requisições recebidos sem impor um limite de tamanho máximo. Um invasor pode enviar payloads JSON compactados com gzip de tamanho reduzido para os endpoints não autenticados '/v1/watchers' ou '/v1/watchers/login' que, ao serem descompactados, resultam em centenas de megabytes de JSON ocupando a memória do servidor. Requisições simultâneas desta natureza podem levar a uma alocação excessiva de memória heap, fazendo com que o sistema operacional encerre o processo. Isso resulta em uma negação de serviço onde os bouncers não conseguem buscar novas decisões e os processadores de log não conseguem enviar alertas. Em configurações padrão, isso não é explorável via rede, pois o LAPI escuta apenas na interface de loopback, mas representa um risco em configurações de múltiplos servidores onde o LAPI está exposto a endereços IP não confiáveis.

Recomendações Restrinja o acesso a endereços IP confiáveis se o LAPI estiver exposto na rede, como em implantações de múltiplos servidores ou através de um proxy reverso. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.