Hasty Briefsbeta

双语

22x memory amp DoS in Anthropic's buffa protobuf decoder (CVE-2026-55407)

12 days ago
  • #Protobuf Decoding
  • #Memory Allocation
  • #Denial of Service
  • AI SAST 在 buffa 的 protobuf 解码过程中,通过未知字段处理发现了一个拒绝服务漏洞。
  • 平面接收器分配的内存约为输入大小的 2 倍,而嵌套组接收器会将微小输入放大约 22 倍,导致内存不足崩溃。
  • 该缺陷影响默认设置,已在 buffa 和 connectrpc 0.8.0 版本中通过设置每条消息的未知字段数量限制得到修复。
  • 严重程度因部署环境而异,CVSS 4.0 评分对某些配置为 6.3(中危),但对其他配置则更高。
  • Anthropic 以协作方式回应,发布了 CVE(CVE-2026-55407),并提供了缓解措施,如禁用未知字段保留功能。