Platform
c
Component
ngtcp2
Opgelost in
1.22.2
CVE-2026-40170 describes a buffer overflow vulnerability affecting the ngtcp2 library, a C implementation of the IETF QUIC protocol. This vulnerability allows a remote attacker to trigger a stack overflow, potentially leading to denial of service or, in more severe cases, code execution. The vulnerability impacts versions 1.0.0 through 1.22.0 of ngtcp2 and has been resolved in version 1.22.1.
CVE-2026-40170 in ngtcp2, een C-implementatie van het IETF QUIC-protocol, vertegenwoordigt een stack buffer overflow kwetsbaarheid. Versies vóór 1.22.1 zijn gevoelig voor dit probleem. Specifiek serialiseert de functie ngtcp2qlogparameterssettransport_params() peer transport parameters in een vaste 1024-byte stack buffer zonder grenskontrole. Wanneer qlog is ingeschakeld, kan een externe peer voldoende grote transportparameters tijdens de QUIC handshake verzenden, waardoor schrijfbewerkingen buiten de buffergrens ontstaan, wat mogelijk leidt tot willekeurige code-uitvoering of een denial-of-service. De CVSS-score voor deze kwetsbaarheid is 7.5. Het risico is groter in omgevingen waar de qlog callback is ingeschakeld en onbetrouwbare peers worden verwerkt.
Exploitatie van deze kwetsbaarheid vereist dat de qlog callback is ingeschakeld op het kwetsbare ngtcp2-systeem. Een aanvaller kan een kwaadaardig QUIC-pakket verzenden met transportparameters die zijn ontworpen om de grootte van de 1024-byte buffer te overschrijden. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om de transportparameters te controleren die tijdens de QUIC handshake worden verzonden. Vanwege de aard van het QUIC-protocol kan exploitatie mogelijk moeilijk te bereiken zijn zonder een diepgaand begrip van het protocol en de mogelijkheid om QUIC-pakketten te manipuleren. Zodra de kwetsbaarheid echter is uitgebuit, kan een aanvaller het systeem compromitteren.
Exploit Status
EPSS
0.05% (15% percentiel)
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-40170 is het upgraden naar versie 1.22.1 of hoger van ngtcp2. Deze versie corrigeert de kwetsbaarheid door een juiste grenskontrole te implementeren bij het serialiseren van transportparameters. Als een onmiddellijke upgrade niet mogelijk is, kan het uitschakelen van de qlog callback het risico verminderen, hoewel dit de debug- en traffic analyse mogelijkheden kan beïnvloeden. Een grondige beoordeling van de ngtcp2-configuratie wordt aanbevolen om ervoor te zorgen dat alleen vertrouwde peers worden verwerkt en dat blootstelling aan potentiële aanvallen wordt geminimaliseerd. Het monitoren van systeemlogboeken op ongebruikelijk gedrag kan ook helpen bij het detecteren van potentiële exploitatiepogingen.
Actualice a la versión 1.22.1 o posterior para evitar el desbordamiento del búfer de la pila. Si no es posible actualizar, desactive la funcionalidad de registro (qlog) en el cliente para mitigar el riesgo.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
ngtcp2 is een C-implementatie van het IETF QUIC-protocol, een transportprotocol van de volgende generatie voor internet.
Deze kwetsbaarheid kan een aanvaller in staat stellen willekeurige code uit te voeren of een denial-of-service te veroorzaken op systemen die ngtcp2 gebruiken.
Als u een versie van ngtcp2 gebruikt vóór 1.22.1 en de qlog callback heeft ingeschakeld, is de kans groot dat u getroffen bent.
Het uitschakelen van de qlog callback kan het risico verminderen, maar zal de debugmogelijkheden beïnvloeden.
Raadpleeg de CVE-2026-40170-pagina op de National Vulnerability Database (NVD) of de ngtcp2-documentatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.