CVE-2026-31812

Gravedad CVSS v4.0:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

10/03/2026

Última modificación:

11/03/2026

Descripción

Quinn es una implementación pure-Rust, compatible con async, del protocolo de transporte QUIC del IETF. Antes de la 0.11.14, un atacante remoto no autenticado puede desencadenar una denegación de servicio en aplicaciones que utilizan versiones vulnerables de quinn al enviar un paquete QUIC Initial manipulado que contiene parámetros de transporte QUIC malformados. En la lógica de análisis de quinn-proto, los varints controlados por el atacante se decodifican con unwrap(), por lo que las codificaciones truncadas causan Err(UnexpectedEnd) y pánico. Esto es alcanzable a través de la red con un solo paquete y sin confianza o autenticación previa. Esta vulnerabilidad está corregida en la versión 0.11.14.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.70

Gravedad 4.0

ALTA

Referencias a soluciones, herramientas e información

https://github.com/quinn-rs/quinn/security/advisories/GHSA-6xvm-j4wr-6v98