HIGHCVE-2026-35457CVSS 8.2

CVE-2026-35457：libp2p-rendezvous DoS漏洞，高危！

Q: CVE-2026-35457 是什么 — libp2p-rendezvous 中的漏洞？

libp2p 是构建点对点 (P2P) 网络的模块化库。

Q: libp2p-rendezvous 中的 CVE-2026-35457 是否会影响我？

依赖 rendezvous 服务器并未使用打补丁版本的 libp2p 的应用程序可能容易受到拒绝服务攻击。

Q: 如何修复 libp2p-rendezvous 中的 CVE-2026-35457？

实施临时解决方案，例如限制 `DISCOVER` 请求的速率。

Q: CVE-2026-35457 是否正在被积极利用？

目前没有用于检测此漏洞的特定工具，但服务器资源监控可以帮助识别异常的内存使用情况。

Q: 在哪里可以找到 libp2p-rendezvous 关于 CVE-2026-35457 的官方安全通告？

请参阅 CVE-2026-35457 漏洞报告和 rust-libp2p 0.17.1 的发行说明。

平台

rust

组件

libp2p-rendezvous

修复版本

0.17.2

0.17.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-35457 是 libp2p-rendezvous 服务器中的一个拒绝服务 (DoS) 漏洞。该漏洞源于服务器无限期地存储分页 cookie，未经身份验证的对等方可以通过重复发送 DISCOVER 请求来强制服务器内存无限增长，最终导致服务不可用。此漏洞已在 libp2p-rendezvous 0.17.1 版本中修复。

影响与攻击场景

rust-libp2p 中的 CVE-2026-35457 影响 rendezvous 服务器，允许未经身份验证的攻击者触发无限内存增长。这是由于存储的页面 Cookie 缺乏限制或到期策略造成的。攻击者可以反复发送 DISCOVER 请求，强制持续创建新的 Cookie，从而耗尽服务器资源，导致服务器不稳定或拒绝服务。根据 CVSS 的评级，严重程度为 8.2，表明中等至高风险。页面 Cookie 存储缺乏限制对使用 libp2p 的网络的稳定性和可用性构成严重问题。

利用背景

攻击者可以通过向 rendezvous 服务器发送大量 DISCOVER 请求来利用此漏洞。每个请求都会生成一个新的页面 Cookie，该 Cookie 存储在服务器内存中。由于缺乏限制，服务器将继续无限期地存储 Cookie，最终导致内存耗尽和拒绝服务。攻击者不需要进行身份验证即可执行这些请求，从而便于利用。攻击的有效性取决于攻击者快速发送请求的能力以及服务器上可用的资源量。建议进行安全审计以识别潜在的入口点并评估风险。

哪些人处于风险中翻译中…

Applications and services that rely on libp2p-rendezvous for peer discovery and networking are at risk. This includes decentralized applications (dApps), peer-to-peer file sharing systems, and any software utilizing the libp2p networking stack. Specifically, systems with limited memory resources are more vulnerable to DoS attacks.

检测步骤翻译中…

• rust / library: Monitor memory usage of libp2p-rendezvous processes. Look for rapidly increasing memory consumption, especially during periods of high network activity. • generic web: If libp2p-rendezvous is exposed via a web interface, monitor access logs for a high volume of DISCOVER requests originating from a single IP address.

# Example: Check for excessive DISCOVER requests in access logs
grep 'DISCOVER' access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10

攻击时间线

2026-04-04Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.05% (16% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件libp2p-rendezvous

供应商osv

影响范围修复版本

< 0.17.1 – < 0.17.10.17.2

—0.17.1

弱点分类 (CWE)

CWE-770

时间线

已保留2026-04-02
发布日期2026-04-04
修改日期2026-04-07
EPSS 更新日期2026-04-15

缓解措施和替代方案

CVE-2026-35457 的主要缓解措施是升级到 rust-libp2p 的 0.17.1 版本或更高版本。此版本包含一个修复程序，该修复程序限制可以存储的页面 Cookie 的数量并到期旧的 Cookie。此外，建议监控服务器资源以检测异常的内存使用情况。如果无法立即升级，则临时解决方案是在给定时间范围内限制对等方可以发送的 DISCOVER 请求的数量，尽管这可能会影响对等方发现功能。为了防止潜在攻击，尽快应用更新至关重要。

修复方法翻译中…

Actualice a la versión 0.17.1 o superior de libp2p-rust para mitigar el riesgo de agotamiento de la memoria. Esta versión corrige la vulnerabilidad al imponer límites en el almacenamiento de cookies de descubrimiento.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-35457 是什么 — libp2p-rendezvous 中的漏洞？