漏洞概述 CVE编号: CVE-2026-53430 漏洞名称: grpc gzip decompression bomb in GRPC.Compressor.Gzip.decompress/1 CVSS 4.0 Score: 8.7 (HIGH) CWE: CWE-409 — CWE-409 Improper Handling of Highly Compressed Data (Data Amplification) CAPEC: CAPEC-130 — CAPEC-130 Excessive Allocation 描述: 该漏洞涉及 elixir-grpc 库中的 和 模块。攻击者可以通过发送一个经过精心构造的 gzip 压缩数据帧,导致服务器在处理时分配大量内存,从而引发拒绝服务(DoS)攻击。具体来说, 函数直接调用 处理攻击者控制的字节,没有进行解压缩大小限制、比率检查或增量解码。由于该模块是注册的 gzip GRPC 压缩器实现,每当收到携带 gzip 编码帧的 GRPC 请求时,它会自动被调用。 头中的 将整个解压缩结果作为单个二进制文件分配,因此即使是几字节的零(可压缩到约 1000:1)也会扩展到多个吉字节。 限制仅对已解压缩的消息有效,因此无法提供保护。未认证的远程对等方可以发送单个构造帧,耗尽 BEAM 节点的堆并触发内存溢出杀死。 影响范围 受影响版本: 0.4.0 到 1.0.0 模块: - - 源文件: - - 例程: - - 修复方案 修复版本: < 1.0.0 修复方式: 更新到修复后的版本 参考链接 GitHub Advisory OSV.dev GitHub Commit 致谢 发现者: Peter Ullrich 修复开发者: Paulo Valente