Platform
rust
Component
libp2p-rendezvous
Opgelost in
0.17.2
0.17.1
CVE-2026-35457 beschrijft een kwetsbaarheid in de libp2p-rendezvous component, specifiek gerelateerd aan het opslaan van paginering cookies zonder limiet. Een kwaadwillende peer kan herhaaldelijk DISCOVER verzoeken versturen, wat resulteert in onbeperkte geheugenuitbreiding en potentieel een Denial of Service. Deze kwetsbaarheid treft versies van libp2p-rendezvous die ouder zijn dan 0.17.1. Een fix is beschikbaar in versie 0.17.1.
CVE-2026-35457 in rust-libp2p heeft invloed op de rendezvous server, waardoor een niet-geauthenticeerde aanvaller onbeperkte geheugengroei kan veroorzaken. Dit komt door het ontbreken van limieten of vervaltijden voor de opgeslagen paginatiecookies. Een aanvaller kan herhaaldelijk DISCOVER-verzoeken sturen om de voortdurende creatie van nieuwe cookies af te dwingen, waardoor serverresources worden verbruikt totdat de server instabiel wordt of een denial-of-service ervaart. De ernst wordt beoordeeld als 8.2 volgens CVSS, wat een matig hoog risico aangeeft. Het ontbreken van limieten op het opslaan van paginatiecookies vormt een ernstig probleem voor de stabiliteit en beschikbaarheid van netwerken die libp2p gebruiken.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een groot aantal DISCOVER-verzoeken naar een rendezvous server te sturen. Elk verzoek genereert een nieuwe paginatiecookie die in het geheugen van de server wordt opgeslagen. Vanwege het ontbreken van limieten blijft de server cookies onbeperkt opslaan, wat uiteindelijk leidt tot geheugenuitputting en een denial-of-service. De aanvaller heeft geen authenticatie nodig om deze verzoeken uit te voeren, waardoor exploitatie gemakkelijk is. De effectiviteit van de aanval hangt af van het vermogen van de aanvaller om verzoeken snel te verzenden en de hoeveelheid resources die op de server beschikbaar zijn. Een beveiligingsaudit wordt aanbevolen om potentiële ingangspunten te identificeren en het risico te beoordelen.
Applications and services that rely on libp2p-rendezvous for peer discovery and networking are at risk. This includes decentralized applications (dApps), peer-to-peer file sharing systems, and any software utilizing the libp2p networking stack. Specifically, systems with limited memory resources are more vulnerable to DoS attacks.
• rust / library: Monitor memory usage of libp2p-rendezvous processes. Look for rapidly increasing memory consumption, especially during periods of high network activity.
• generic web: If libp2p-rendezvous is exposed via a web interface, monitor access logs for a high volume of DISCOVER requests originating from a single IP address.
# Example: Check for excessive DISCOVER requests in access logs
grep 'DISCOVER' access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10disclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-35457 is het upgraden naar versie 0.17.1 van rust-libp2p of hoger. Deze versie bevat een correctie die het aantal opgeslagen paginatiecookies beperkt en oudere cookies laat verlopen. Daarnaast wordt aanbevolen om serverresources te monitoren om ongebruikelijk geheugengebruik te detecteren. Als een onmiddellijke upgrade niet mogelijk is, is een tijdelijke oplossing om het aantal DISCOVER-verzoeken dat een peer binnen een bepaalde tijdsperiode kan sturen te beperken, hoewel dit de peer-discovery functionaliteit kan beïnvloeden. Het zo snel mogelijk toepassen van de update is cruciaal om potentiële aanvallen te voorkomen.
Actualice a la versión 0.17.1 o superior de libp2p-rust para mitigar el riesgo de agotamiento de la memoria. Esta versión corrige la vulnerabilidad al imponer límites en el almacenamiento de cookies de descubrimiento.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
libp2p is een modulaire bibliotheek voor het bouwen van peer-to-peer (P2P) netwerken.
Applicaties die libp2p gebruiken en afhankelijk zijn van de rendezvous server kunnen kwetsbaar zijn voor een denial-of-service als ze niet worden bijgewerkt naar de gepatchte versie.
Implementeer tijdelijke oplossingen zoals het beperken van de snelheid van DISCOVER-verzoeken.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar het monitoren van serverresources kan helpen bij het identificeren van ongebruikelijk geheugengebruik.
Raadpleeg het kwetsbaarheidsrapport CVE-2026-35457 en de release notes voor rust-libp2p 0.17.1.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Cargo.lock-bestand en we vertellen je direct of je getroffen bent.