漏洞关键信息 漏洞描述 名称: Memory Exhaustion Attack due to Missing Length Check in WT_CLOSE_SESSION Capsule 严重性: Moderate (5.3/10) CVE ID: CVE-2026-21434 弱点: CWE-770 影响和修复 受影响的版本: v0.3.0 - v0.9.0 已修复的版本: v0.10.0 修复措施: webtransport-go 现在限制了 WT_CLOSE_SESSION 胶囊中解析的应用程序错误消息的长度为 1024 字节,通过读取不超过该数量以防止过度内存消耗。 CVSS v3 基础度量指标 攻击向量: Network 攻击复杂度: Low 所需权限: None 用户交互: None 影响范围: Unchanged 保密性影响: None 完整性影响: None 可用性影响: Low 漏洞细节 概述: 攻击者可以通过发送包含异常大应用程序错误消息的 WT_CLOSE_SESSION 胶囊,导致 webtransport-go 的会话实现出现过量内存消耗。由于实现未强制执行草稿规定的 1024 字节限制,允许对等方传输任意大的消息有效载荷,这些数据将被完全读取并存储在内存中。 问题背景: WebTransport 在 HTTP/3 上,根据 draft-ietf-webtrans-http3 定义,使用 WT_CLOSE_SESSION 胶囊来指示会话终止,并可以选择详细错误。草稿规定应用程序错误消息的长度不得超过 1024 字节。受影响版本中的解析器在处理传入的 WT_CLOSE_SESSION 胶囊时,未强制执行这个 1024 字节的最大限制。