anonhaven

CVE-2026-32941

HIGH CVSS 4.0: 7,1 EPSS 0.05%
Обновлено 24 марта 2026
Bishopfox
Параметр Значение
CVSS 7,1 (HIGH)
Уязвимые версии до 1.7.3
Тип уязвимости CWE-770 (Выделение ресурсов без ограничений), CWE-789
Поставщик Bishopfox
Публичный эксплойт Нет

Sliver — это платформа управления и контроля, использующая собственный сетевой стек Wireguard. Версии 1.7.3 и ниже содержат уязвимость Remote OOM (недостаток памяти) на mTLS и транспортном уровне WireGuard C2 сервера Sliver C2. Функции socketReadEnvelope и socketWGReadEnvelope доверяют контролируемому злоумышленником 4-байтовому префиксу длины для выделения памяти, а ServerMaxMessageSize позволяет однократно выделять до ~2 ГиБ.

Скомпрометированный имплантат или злоумышленник с действительными учетными данными могут воспользоваться этим, отправив сфабрикованные префиксы длины через одновременные потоки yamux (до 128 на одно соединение), вынудив сервер попытаться выделить ~ 256 ГиБ памяти и инициировать уничтожение OS OOM. Это приводит к сбою сервера Sliver, прерыванию всех активных сеансов имплантации и может привести к ухудшению качества или уничтожению других процессов, использующих тот же хост. Та же самая закономерность действует и для всех считывателей на стороне имплантата, у которых вообще нет проверки верхней границы.

На момент публикации проблема не была устранена.

Показать оригинальное описание (EN)

Sliver is a command and control framework that uses a custom Wireguard netstack. Versions 1.7.3 and below contain a Remote OOM (Out-of-Memory) vulnerability in the Sliver C2 server's mTLS and WireGuard C2 transport layer. The socketReadEnvelope and socketWGReadEnvelope functions trust an attacker-controlled 4-byte length prefix to allocate memory, with ServerMaxMessageSize allowing single allocations of up to ~2 GiB. A compromised implant or an attacker with valid credentials can exploit this by sending fabricated length prefixes over concurrent yamux streams (up to 128 per connection), forcing the server to attempt allocating ~256 GiB of memory and triggering an OS OOM kill. This crashes the Sliver server, disrupts all active implant sessions, and may degrade or kill other processes sharing the same host. The same pattern also affects all implant-side readers, which have no upper-bound check at all. The issue was not fixed at the the time of publication.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-770 Allocation Without Limits (Выделение ресурсов без ограничений)
CWE-789

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Bishopfox Sliver
cpe:2.3:a:bishopfox:sliver:*:*:*:*:*:*:*:*
 <= 1.7.3

Ссылки 1

https://github.com/BishopFox/sliver/security/advisories/GHSA-97vp-pwqj-46qc
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-34227

Bishopfox

5,9

CVE-2025-27090

Bishopfox

6,9