CVE-2018-1000168

High

nghttp2 version >= 1.10.0 and nghttp2 <= v1.31.0 contains an Improper Input Validation CWE-20 vulnerability in ALTSVC frame handling that…

mitre·CWE-20·Published 2018-05-08

CVSS

7.5

EPSS

0.11

KEV

Exploits

cve.orgen

318 chars

nghttp2 version >= 1.10.0 and nghttp2 <= v1.31.0 contains an Improper Input Validation CWE-20 vulnerability in ALTSVC frame handling that can result in segmentation fault leading to denial of service. This attack appears to be exploitable via network client. This vulnerability appears to have been fixed in >= 1.31.1.

NVDen

318 chars

NVDes

423 chars

nghttp2 hasta la versión 1.10.0 y nghttp2 en versiones 1.31.0 y anteriores contienen una vulnerabilidad de validación incorrecta de entradas (CWE-20) en la gestión de tramas ALTSVC que puede resultar en un fallo de segmentación, lo que provoca una denegación de servicio (DoS). Este ataque parece ser explotable mediante un cliente de red. La vulnerabilidad parece haber sido solucionada en la versión 1.31.1 y posteriores.

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
2.0	Primary	NVD	5.0	10.0	2.9	AV:N/AC:L/Au:N/C:N/I:N/A:P
3.1	Primary	cve.org	7.5	—	—	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H