漏洞概述 漏洞编号: CVE-2026-59246 漏洞类型: CWE-770 — CWE-770 Allocation of Resources Without Limits or Throttling CVSS 4.0 评分: 6.3 (MEDIUM) 漏洞描述: 在 中, 函数在处理每个 HTTP/2 CONTINUATION 帧时,会将其累加到 中,导致内存无限增长。由于 帧允许携带零长度负载,攻击者可以通过发送无限数量的零长度 帧来耗尽客户端内存,最终导致服务拒绝。 影响范围 受影响模块: 受影响文件: 受影响版本: 0.1.0 到 1.9.2 修复版本: < 1.9.2 修复方案 修复状态: 已修复 修复版本: < 1.9.2 修复提交: 596ca4845 修复链接: GitHub Commit 参考链接 GitHub Advisory OSV.dev GitHub Commit 致谢 发现者: Finder zx (Jace) 修复开发者: Andrea Leopardi 修复审查者: Eric Meadows-Jönsson 分析师: Jonatan Männchen / EEF