Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00917
- Title: 某單位 QUIC RESET_STREAM 流量控制繞過漏洞
- Introduction: 某單位 的 QUIC/HTTP-3 實作中,處理 RESET_STREAM frame 時 先設定 stream 狀態、才做流量控制檢查,導致單一 stream 的流量控制上限 (recv_max_data)被完全繞過。攻擊者開一個 stream、不送任何資料,直接送 RESET_STREAM 並宣告一個遠超該 stream 個別額度、但仍在連線層級聚合額度內 的 final_size,即可不成比例地佔用整條連線共享的流量控制預算,造成同連線 其他合法 stre
處理狀態
目前狀態
新提交
Last Update : 2026/07/11
-
新提交
-
未審核
-
未通報
-
未修補
-
未複測
-
公開
處理歷程
- 2026/07/11 16:08:41 : 新提交 (由 JelyF1shhhhhh 更新此狀態)
- 2026/07/11 21:21:11 : 新提交 (由 JelyF1shhhhhh 更新此狀態)
詳細資料
- ZDID:ZD-2026-00917
- 通報者:JelyF1shhhhhh (JelyF1shhhhhh)
- 風險:中
- 類型:阻斷服務 (DoS)
留言討論
登入後留言