Plataforma
rust
Componente
libp2p-rendezvous
Corrigido em
0.17.2
0.17.1
Uma vulnerabilidade foi descoberta na libp2p-rendezvous, onde o servidor de rendezvous armazena cookies de paginação sem limites. Um peer não autenticado pode emitir repetidamente requisições DISCOVER e forçar o crescimento ilimitado da memória.
A vulnerabilidade CVE-2026-35457 em rust-libp2p afeta o servidor de encontro (rendezvous), permitindo que um atacante não autenticado cause um crescimento ilimitado da memória. Isso se deve à falta de limites ou políticas de expiração para os cookies de paginação armazenados. Um atacante pode enviar repetidamente solicitações DISCOVER para forçar a criação contínua de novos cookies, consumindo os recursos do servidor até que este se torne instável ou experimente uma negação de serviço. A severidade é classificada como 8.2 de acordo com o CVSS, indicando um risco moderadamente alto. A ausência de limites no armazenamento de cookies de paginação representa uma séria preocupação para a estabilidade e disponibilidade de redes que utilizam libp2p.
Um atacante pode explorar esta vulnerabilidade enviando um grande número de solicitações DISCOVER para um servidor de encontro. Cada solicitação gera um novo cookie de paginação que é armazenado na memória do servidor. Devido à ausência de limites, o servidor continuará a armazenar cookies indefinidamente, levando eventualmente ao esgotamento da memória e a uma negação de serviço. O atacante não precisa de autenticação para realizar essas solicitações, tornando a exploração fácil. A eficácia do ataque depende da capacidade do atacante de enviar solicitações rapidamente e da quantidade de recursos disponíveis no servidor. Recomenda-se uma auditoria de segurança para identificar possíveis pontos de entrada e avaliar o risco.
Applications and services that rely on libp2p-rendezvous for peer discovery and networking are at risk. This includes decentralized applications (dApps), peer-to-peer file sharing systems, and any software utilizing the libp2p networking stack. Specifically, systems with limited memory resources are more vulnerable to DoS attacks.
• rust / library: Monitor memory usage of libp2p-rendezvous processes. Look for rapidly increasing memory consumption, especially during periods of high network activity.
• generic web: If libp2p-rendezvous is exposed via a web interface, monitor access logs for a high volume of DISCOVER requests originating from a single IP address.
# Example: Check for excessive DISCOVER requests in access logs
grep 'DISCOVER' access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10disclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2026-35457 é atualizar para a versão 0.17.1 do rust-libp2p ou posterior. Esta versão inclui uma correção que limita o número de cookies de paginação que podem ser armazenados e expira os cookies mais antigos. Além disso, recomenda-se implementar o monitoramento de recursos do servidor para detectar o uso incomum de memória. Se a atualização imediata não for possível, uma solução temporária é limitar o número de solicitações DISCOVER que um peer pode enviar em um determinado período de tempo, embora isso possa afetar a funcionalidade de descoberta de peers. Aplicar a atualização o mais rápido possível é crucial para evitar possíveis ataques.
Actualice a la versión 0.17.1 o superior de libp2p-rust para mitigar el riesgo de agotamiento de la memoria. Esta versión corrige la vulnerabilidad al imponer límites en el almacenamiento de cookies de descubrimiento.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
libp2p é uma biblioteca modular para construir redes peer-to-peer (P2P).
As aplicações que usam libp2p e dependem do servidor de encontro podem ser suscetíveis a negação de serviço se não forem atualizadas para a versão corrigida.
Implemente soluções temporárias, como limitar a taxa de solicitações DISCOVER.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade, mas o monitoramento de recursos do servidor pode ajudar a identificar o uso incomum de memória.
Consulte o relatório de vulnerabilidade CVE-2026-35457 e as notas de lançamento do rust-libp2p 0.17.1.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Cargo.lock e descubra na hora se você está afetado.