製品・ソフトウェアに関する情報

JVN脆弱性詳細

Envoy ProxyのEnvoyにおける高圧縮データの処理 (データ増幅)に関する脆弱性

Title	Envoy ProxyのEnvoyにおける高圧縮データの処理 (データ増幅)に関する脆弱性
Summary	Envoyはクラウドネイティブアプリケーション向けに設計されたオープンソースのエッジおよびサービスプロキシです。バージョン1.23.0から1.35.11、1.36.7、1.37.3、および1.38.1までの間で、Envoyのzstdデコンプレッサ実装（ZstdDecompressorImpl）に脆弱性が確認されています。zstdデコンプレッションが有効な場合、特別に細工された高圧縮のzstdペイロードを処理すると、膨大なメモリ割り当てが発生する可能性があります。攻撃者はこれを悪用して深刻なメモリ枯渇を引き起こし、Out-Of-Memory（OOM）キルおよびEnvoyプロキシのサービス拒否（DoS）を誘発させる可能性があります。この脆弱性はバージョン1.35.11、1.36.7、1.37.3、および1.38.1で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 26, 2026, midnight
Registration Date	June 30, 2026, 11:20 a.m.
Last Update	June 30, 2026, 11:20 a.m.

Affected System

Envoy Proxy

Envoy 1.23.0 以上 1.35.13 未満

Envoy 1.36.0 以上 1.36.9 未満

Envoy 1.37.0 以上 1.37.5 未満

Envoy 1.38.0 以上 1.38.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-48044	https://www.cve.org/CVERecord?id=CVE-2026-48044
National Vulnerability Database (NVD)
2	CVE-2026-48044	https://nvd.nist.gov/vuln/detail/CVE-2026-48044

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-409	https://cwe.mitre.org/data/definitions/409.html

ベンダー情報

No	Name	URL
GitHub
1	Zstd Decompressor: Ratio Check at Wrong Loop Depth lead to memory explosion Advisory envoyproxy/envoy GitHub	https://github.com/envoyproxy/envoy/security/advisories/GHSA-m3p9-47wh-88wg

Change Log

No	Changed Details	Date of change
1	[2026年06月30日] 掲載	June 30, 2026, 11:20 a.m.

NVD Vulnerability Information

CVE-2026-48044

Summary	Envoy is an open source edge and service proxy designed for cloud-native applications. From 1.23.0 until 1.35.11, 1.36.7, 1.37.3, and 1.38.1, a vulnerability has been identified in Envoy's zstd decompressor implementation (ZstdDecompressorImpl). When zstd decompression is enabled, processing a specially crafted, highly compressed zstd payload can lead to massive memory allocation. An attacker can exploit this to cause severe memory exhaustion, potentially resulting in an Out-Of-Memory (OOM) kill and Denial of Service (DoS) for the Envoy proxy. This vulnerability is fixed in 1.35.11, 1.36.7, 1.37.3, and 1.38.1.
Publication Date	June 27, 2026, 3:16 a.m.
Registration Date	June 27, 2026, 4:35 a.m.
Last Update	June 30, 2026, 3:40 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/envoyproxy/envoy/security/advisories/GHSA-m3p9-47wh-88wg	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-409	高圧縮データの不適切な処理 (データ増幅)	https://cwe.mitre.org/data/definitions/409.html