NVD Vulnerability Detail
Search Exploit, PoC
CVE-2024-36387
Summary

Serving WebSocket protocol upgrades over a HTTP/2 connection could result in a Null Pointer dereference, leading to a crash of the server process, degrading performance.

Publication Date July 2, 2024, 4:15 a.m.
Registration Date July 2, 2024, 10 a.m.
Last Update Nov. 26, 2024, 3:15 a.m.
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
HTTP/2 WebSocketプロトコルアップグレードにおけるヌルポインタ参照によるサーバークラッシュの脆弱性
Title HTTP/2 WebSocketプロトコルアップグレードにおけるヌルポインタ参照によるサーバークラッシュの脆弱性
Summary

HTTP/2接続上でWebSocketプロトコルへのアップグレードを提供する際に、ヌルポインタ参照が発生し、サーバープロセスがクラッシュしたりパフォーマンスが低下したりする可能性があります。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date July 1, 2024, midnight
Registration Date Nov. 10, 2025, 11:37 a.m.
Last Update Nov. 10, 2025, 11:37 a.m.
Affected System
Apache Software Foundation
Apache HTTP Server - から 2.4.59
NetApp
ONTAP 9
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2025年11月10日]
  掲載		 Nov. 10, 2025, 11:37 a.m.