Vulnerabilidad en webtransport-go (CVE-2026-21434)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/02/2026

Última modificación:

19/02/2026

Descripción

webtransport-go es una implementación del protocolo WebTransport. Desde 0.3.0 hasta 0.9.0, un atacante puede causar un consumo excesivo de memoria en la implementación de sesión de webtransport-go al enviar una cápsula WT_CLOSE_SESSION que contiene un Mensaje de Error de Aplicación excesivamente grande. La implementación no aplica el límite de 1024 bytes exigido por el borrador en este campo, lo que permite a un par enviar una carga útil de mensaje arbitrariamente grande que se lee y almacena completamente en memoria. Esto permite a un atacante consumir una cantidad arbitraria de memoria. El atacante debe transmitir la carga útil completa para lograr el consumo de memoria, pero la falta de cualquier límite superior hace que los ataques a gran escala sean factibles dado un ancho de banda suficiente. Esta vulnerabilidad está corregida en 0.10.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo