CVE-2026-40898

Nome do Software Vulnerável e Versões Afetadas quic-go (versões afetadas não especificadas)

Description Um invasor pode causar a alocação excessiva de memória nas implementações de cliente e servidor HTTP/3 ao enviar um quadro HEADERS codificado em QPACK. Este quadro é decodificado em uma seção de trailer de campo grande, contendo inúmeros nomes de campos exclusivos ou valores extensos. O sistema constrói um http.Header para o http.Request ou http.Response, mas impõe limites apenas ao tamanho do quadro HEADERS compactado, e não à seção de campo decodificada. Essa discrepância permite que um quadro maliciosamente elaborado se expanda até 50 vezes seu tamanho codificado usando entradas de tabela estática QPACK, levando à exaustão de memória e a um estado de negação de serviço (DoS).

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.