CWE-1325 · Ненадлежащим образом контролируемое последовательное выделение памяти

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-1325БазаНеполный

Абстракция: База

Статус: Неполный

Источник ↗

Ненадлежащим образом контролируемое последовательное выделение памяти

Продукт управляет группой объектов или ресурсов и выполняет отдельное выделение памяти для каждого объекта, однако не ограничивает надлежащим образом суммарный объём памяти, потребляемой всеми объектами в совокупности.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Избыточное распределение ресурсов

Связанные уязвимости

CVE-2024-27796Проблема была устранена с помощью улучшенных проверок. Эта проблема исправлена в iOS 17.5 и iPadOS 17.5, macOS Sonoma 14.5. Злоумышленник может получить возможность повышения привилегий.

CVE-2026-34183Резюме выпуска: Удаленный сверстник может исчерпать кучу памяти QUIC сервер или клиент, заполонив его пакетами, содержащими PATH_CHALLENGE Рамки. Резюме воздействия: вредоносный удаленный сверстник может вызвать безграничный высвобождение памяти, которое может привести к ненормальному прекращению приложение, действующее как QUIC-клиент или сервер и отказ в обслуживании. Удаленный сверстник может исчерпать кучу памяти, затопив местное QUIC stack с рамками PATH_CHALLENGE. Местный стек QUIC выделяет рамку PATH_RESPONSE для каждого PATH_CHALLENGE, который он получает. Распределенный кадр PATH_RESPONSE освобождается только тогда, когда пульт peer признает прием кадра PATH_RESPONSE, который будет Не делать злонамеренный сверстник. Модули FIPS в 4.0, 3.6, 3.5, 3.4 и 3.0 не затрагиваются этот вопрос. Стек QUIC находится за пределами модуля OpenSSL FIPS Граница.

CVE-2026-3201Ухудшение памяти диссектора протокола USB HID в Wireshark 4.6.0 до 4.6.3 и 4.4.40 до 4.4.13 позволяет отказаться от обслуживания

CVE-2025-2240В Smallrye была обнаружена ошибка, при которой smallrye-fault-tolerance уязвим к проблеме нехватки памяти (OOM). Эта уязвимость инициируется извне при вызове URI метрик. Каждый вызов создает новый объект внутри meterMap и может привести к отказу в обслуживании (DoS).

CVE-2022-30635Неконтролируемая рекурсия в Decoder.Decode в encoding/gob до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека через сообщение, которое содержит глубоко вложенные структуры.

CVE-2022-30633Неконтролируемая рекурсия в Unmarshal в encoding/xml до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека путем демаршалинга XML-документа в структуру Go, которая имеет вложенное поле, использующее тег поля 'any'.

CVE-2022-30632Неконтролируемая рекурсия в Glob в path/filepath до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека через путь, содержащий большое количество разделителей путей.

CVE-2022-30631Неконтролируемая рекурсия в Reader.Read в compress/gzip до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека через архив, содержащий большое количество объединенных сжатых файлов нулевой длины.

CVE-2022-30630Неконтролируемая рекурсия в Glob в io/fs до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека через путь, который содержит большое количество разделителей путей.

CVE-2021-43174NLnet Labs Routinator версии 0.9.0 до версии 0.10.1 включительно поддерживают кодировку передачи gzip при запросе RRDP-репозиториев. Эта кодировка может использоваться RRDP-репозиторием для вызова сбоя из-за нехватки памяти в этих версиях Routinator. RRDP использует XML, который допускает произвольное количество пробелов в закодированных данных. Схема gzip сжимает такие пробелы чрезвычайно хорошо, что приводит к очень маленьким сжатым файлам, которые становятся огромными при распаковке для дальнейшей обработки, достаточно большими, чтобы Routinator исчерпал память при анализе входных данных в ожидании следующего XML-элемента.

CVE-2022-28131Неконтролируемая рекурсия в Decoder.Skip в encoding/xml до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека через глубоко вложенный XML-документ.

CVE-2026-8199Аутентифицированный пользователь может вызвать избыточное использование памяти с помощью битового выражения AST обработки $bitsAllSet, $bitsAnySet, $bitsAllClear и $bitsAnyClear. Это способствует давлению памяти и может привести к потере доступности OOM. Эта проблема затрагивает версии MongoDB Server v7.0 до версий 7.0.34, v8.0 до версий 8.0.23, v8.2 до версий 8.2.9 и v8.3 до 8.3.2.

CVE-2026-24819Неправильно управляемая уязвимость последовательного распределения памяти в фоксинmy weixin4j (weixin4j-base/src/main/java/com/foxinmy/weixin4j/util модулей). Эта уязвимость связана с программными файлами CharArrayBuffer.Java, ClassUtil.Java. Эта проблема затрагивает weixin4j.

CVE-2024-34158Вызов Parse в строке тега сборки "// +build" с глубоко вложенными выражениями может вызвать панику из-за исчерпания стека.

CVE-2026-6869Сбой диссектора протокола WebSocket в Wireshark 4.6.0 до 4.6.4 и 4.4.0 до 4.4.14 позволяет отказаться от обслуживания