漏洞概述 漏洞编号:CVE-2026-48862 漏洞类型:资源分配无限制或节流(CWE-770) CVSS 4.0 评分:8.2(高) 漏洞描述:在 中,Mint 允许攻击者控制的 HTTP/2 服务器通过 PUSH_PROMISE 洪水攻击耗尽 Mint 客户端的内存。具体而言, 中的 函数为每个承诺的流 ID 插入一个 条目到 。邻近的 仅验证承诺的 ID 是否已存在且未预分配,而 在承诺时间不会被咨询。并发限制仅在响应 HEADERS 到达时检查,因此服务器发送 PUSH_PROMISE 帧并 withholding 匹配的 HEADERS 不会触发该检查。HTTP/2 服务器推送默认被接受( 默认为 )。单个长寿命的 HTTP/2 连接到热重载服务器会导致服务器每推送一个流,conn.streams 条目就会增加,没有上限,直到客户端处理完所有 PUSH_PROMISE 帧。 影响范围 受影响模块: - - 源文件: - 例程: - - 受影响版本: - 之前 - 修复版本: 修复方案 临时解决方案:禁用对不受信任服务器的 HTTP/2 服务器推送,通过传递 给 。这将使 Mint 在到达漏洞代码路径之前拒绝任何入站 PUSH_PROMISE 帧,并返回 。 最终修复:升级到 或更高版本。 参考链接 GitHub Advisory OSV.dev Vulnerability GitHub Commit 致谢 发现者:Peter Ullrich 修复开发者:Eric Meadows-Jönsson 分析师:Jonatan Männchen / EEF