CVE-2026-22261

Suricata eve/alert: http1 xff handling can lead to denial of service

CVSS 3.7 LOWEPSS 0.3%CWE-1050

En resumen

La forma en que Suricata procesa los encabezados X-Forwarded-For (XFF) en alertas HTTP puede hacer que el sistema sea muy lento al procesar cierto tipo de tráfico de red. Un atacante puede degradar el desempeño del monitoreo al enviar solicitudes especialmente construidas.

Detalle técnico

La vulnerabilidad existe en el módulo eve/alert de Suricata, donde el procesamiento ineficiente de encabezados XFF, especialmente para alertas no asociadas a una transacción HTTP, puede causar negación de servicio por degradación severa del desempeño. Un atacante puede explotar esto enviando tráfico HTTP con encabezados XFF que activen la ruta de código ineficiente, causando agotamiento de recursos en el sistema IDS/IPS.

Resumen generado y traducido por IA a partir de la descripción oficial.

Suricata is a network IDS, IPS and NSM engine. Prior to versions 8.0.3 and 7.0.14, various inefficiencies in xff handling, especially for alerts not triggered in a tx, can lead to severe slowdowns. Versions 8.0.3 and 7.0.14 contain a patch. As a workaround, disable XFF support in the eve configuration. The setting is disabled by default.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

Productos afectados

OISF · suricata

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/OISF/suricata/commit/3f0725b34c7871c2de4346c8af872f10f4501e44 https://github.com/OISF/suricata/commit/af246ae7ab1b70c09f83c0619b253095ccc18667 https://github.com/OISF/suricata/security/advisories/GHSA-5jvg-5j3p-34cf https://redmine.openinfosecfoundation.org/issues/8156