CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2016-6580
https://notcve.org/view.php?id=CVE-2016-6580
A HTTP/2 implementation built using any version of the Python priority library prior to version 1.2.0 could be targeted by a malicious peer by having that peer assign priority information for every possible HTTP/2 stream ID. The priority tree would happily continue to store the priority information for each stream, and would therefore allocate unbounded amounts of memory. Attempting to actually use a tree like this would also cause extremely high CPU usage to maintain the tree. Una implementación HTTP/2 construida usando cualquier versión de la librería de prioridad de Python anterior a la versión 1.2.0 podría ser atacado por un par malicioso teniendo ese par información de prioridad de asignación para cada posible ID de secuencia HTTP/2. El árbol de prioridad continuaría felizmente almacenando la información de prioridad para cada secuencia, y por tanto asignaría cantidades ilimitadas de memoria. • http://www.securityfocus.com/bid/92311 https://python-hyper.org/priority/en/latest/security/CVE-2016-6580.html • CWE-399: Resource Management Errors •