CWE-407КлассНеполный
Неэффективная алгоритмическая сложность
Алгоритм в продукте обладает неэффективной вычислительной сложностью в наихудшем случае, которая может негативно сказываться на производительности системы и может быть намеренно вызвана злоумышленником с помощью специально сформированных манипуляций, гарантирующих достижение наихудшего случая.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2015-8391Функция pcre_compile в pcre_compile.c в PCRE до версии 8.38 неправильно обрабатывает определенные вложения [: , что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП) или, возможно, оказывать другое неуказанное воздействие через специально созданное регулярное выражение, как продемонстрировано объектом JavaScript RegExp, обнаруженным Konqueror.
CVE-2026-43967Неэффективная уязвимость алгоритмической сложности в абсентном абсентном абсенте-графе позволяет неаутентифицированный отказ в обслуживании через квадратичную валидацию уникальности фрагментов.
'Elixir.Absinthe.Phase.Dorcument.Validation.UniqueFragmentNames':run/2 итерирует по всем фрагментам и для каждого вызова дубликата?/2, который оценивает Enum.count(fragments, &(&1.name == name)) — полное линейное сканирование списка фрагментов. Результатом являются сравнения O(N2) на документ, где N - число определений фрагментов, предоставленных вызывающим абонентом.
Поскольку ine.fрагменты построены непосредственно из корпуса запроса GraphQL, N полностью контролируется атакующим. Определение фрагмента минимального размера составляет примерно 16 байтов, поэтому документ ~1 МБ несет ~ 60,000 фрагментов и сил ~3,6 × 109 сравнений внутри этой единой фазы проверки. Никакой аутентификации, знаний о схеме или специальной конфигурации не требуется.
Эта проблема затрагивает абсент: от 1.2.0 до 1.10.2.
CVE-2026-34573Parse Server - это бэкенд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До версий 8.6.68 и 9.7.0-альфа.12 валидатор сложности запросов GraphQL может быть использован для создания отказа в обслуживании, отправив созданный запрос с бинарными спредами фрагментов вентиляторов. Один неаутентифицированный запрос может заблокировать цикл событий Node.js на секунды, отказывая в обслуживании всем одновременным пользователям. Это касается только развертываний, которые позволили использовать параметры конфигурации requestComplexlexity.graphQLDepth или requestComplexity.graphQLFields. Этот выпуск был исправлен в версиях 8.6.68 и 9.7.0-альфа.12.
CVE-2026-8889Версия 3.0.7 расширения Securly Chrome использует амортизированный хешинг SHA-1 для сопоставления URL IWF CSAM (25,020 хэшей) и сопоставления блок-листа CIPA (12,352 хэшей).
CVE-2026-48959IO:::Uncompress::Unzip версии до 2.220 для Perl позволяют исчерпать процессор через цикл чтения с проибо в fastForward.
fastForward() сравнивает длину $offset (цифровое количество офсета, от 1 до 19) с размером $c вместо самого $c, поэтому $c сокращается с 16 KiB до 1-19 байт за итерацию.
Извлечение именованной записи от злоумышленника, поставляемого на молнии через IO::Uncompress::Unzip->new($zip, Имя => $target) приводит в движение цикл считыванием сжатым размером записи до не-Zip64 4 GiB.
CVE-2026-45186В libexpat до 2.8.1 вычислительная сложность проверки столкновения атрибутов позволяет отказать в обслуживании через созданный XML ввод умеренного размера.
CVE-2026-42504Декодирование злонамеренно изготовленного заголовка MIME, содержащего множество недействительных закодированных слов, может потреблять чрезмерный процессор.
CVE-2026-41850Приложения, которые оценивают пользовательские выражения языка весеннего экспрессиона (SpEL), уязвимы для алгоритмического отказа в обслуживании (DoS). Обеспечивая специально созданное выражение, злоумышленник может вызвать чрезмерное потребление ресурсов во время оценки, что приводит к деградации или недоступности приложения.
Затрагивающие версии:
Весенняя структура 7.0.0-7.0.7; 6.2.0 - 6.2.18; 6.1.0-6.1.27; 5.3,0-5.3.48.
CVE-2026-3988GitLab исправил проблему в GitLab CE/EE, затрагивающую все версии, начиная с 18,5 до 18.8.7, 18.9 до 18.9.3 и 18.10 до 18.10.1, что могло бы позволить пользователю без аутентификации отказаться от услуг, сделав экземпляр GitLab не реагирующей на неправильную валидацию ввода в обработке запроса GraphQL.
CVE-2026-31937Отказ в обслуживании в Suricata
CVE-2026-31934Отказ в обслуживании в Suricata
CVE-2026-31933Отказ в обслуживании в Suricata
CVE-2026-31932Отказ в обслуживании в Suricata
CVE-2026-27903minimatch - это минимальная утилита соответствия для преобразования глобовых выражений в объекты JavaScript RegExp. До версий 10.2.3, 9.0.7, 8.0.6, 7.4.8, 6.2.2, 5.1.8, 4.2.5 и 3.1.3, `matchOne()` выполняет безграничное рекурсивное обратное ручное отслеживание, когда глобусный рисунок содержит несколько несопряженных `**` сегментов (GLOBSTAR) и входной путь не совпадает. Сложность времени O(C(n, k)) -- биномиальная -- где n` - число сегментов пути, а `k` - число глобстаров. С k=11 и n=30 звонок в API по умолчанию `minimatch()` API останавливается примерно на 5 секунд. При k=13 он превышает 15 секунд. Никакой мемуализации или звонков не существует, чтобы связать такое поведение. Любое приложение, в котором злоумышленник может влиять на глобационный паттерн, переданный «минимatch()`, является уязвимым. Реалистичное покрытие атаки включает в себя инструменты сборки и бегунов задач, которые принимают поставляемые пользователем глобусные аргументы (ESLint, Webpack, конфигурация Rollup), многопользовательские системы, где один арендатор настраивает глобальные правила, которые работают в общих интерфейсах admin или Develop, которые принимают конфигурацию игнорирования или фильтра в виде глобусов, и конвейеры CI/CD, которые оценивают пользовательские файлы. Нападающий, который может разместить обработанный рисунок в любой из этих путей, может затормозить цикл событий Node.js на десятки секунд за призыв. Рисунок составляет 56 байтов для 5-секундного стойла и не требует аутентификации в контекстах, где ввод шаблона является частью функции. Вариантов 10.2.3, 9.0.7, 8.0.6, 7.4.8, 6.2.2, 5.1.8, 4.2.5 и 3.1.3 исправить проблему.
CVE-2026-1285Отказ в обслуживании в Ansible Automation Platform 2.5 packages