JVNDB-2026-004346

quic-goのwebtransport-goにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性

webtransport-goはWebTransportプロトコルを実装したライブラリです。バージョン0.3.0から0.9.0において、攻撃者はWT_CLOSE_SESSIONカプセルに非常に大きなアプリケーションエラーメッセージを送信することで、webtransport-goのセッション実装に過剰なメモリ消費を引き起こす可能性があります。この実装は、このフィールドに対してドラフトで規定された1024バイトの制限を強制しておらず、ピアが任意に大きなメッセージペイロードを送信し、それを完全に読み取ってメモリに格納してしまいます。そのため、攻撃者は任意の量のメモリを消費できます。メモリ消費を達成するためには攻撃者が完全なペイロードを送信する必要がありますが、上限がないため十分な帯域幅があれば大規模な攻撃が可能になります。この脆弱性はバージョン0.10.0で修正されました。

quic-go

• webtransport-go 0.3.0 以上 0.10.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Memory Exhaustion Attack due to Missing Length Check in WT_CLOSE_SESSION Capsule  Advisory  quic-go/webtransport-go  GitHub

1. 制限またはスロットリング無しのリソースの割り当て(CWE-770) [その他]

1. CVE-2026-21434

1. National Vulnerability Database (NVD) : CVE-2026-21434
2. 関連文書 : Release v0.10.0  quic-go/webtransport-go  GitHub

• [2026年02月20日]
    掲載