Vert.x has a DoS via unbounded server-side SNI SslContext cache growth — CVE-2026-6860
GitHub · GitHub · CVE-2026-6860
ID
CVE-2026-6860
CVE-2026-6860
Date
Mis à jour
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
medium
medium
CVSS
6.9
6.9
EPSS
0.00029
0.00029
Résumé
Potential unbounded server-side SNI `SslContext` cache growth in Vert.x TLS handling, with possible resource-exhaustion / DoS impact. On affected versions, matching server-side SNI names are cached via `computeIfAbsent(serverName, ...)` in a serverName-keyed `SslContext` cache, and I could not find any bound, TTL, or eviction for that cache. The implementation differs slightly by branch, but the same sink appears…
Produit
maven: io.vertx:vertx-core
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.