Uma vulnerabilidade zero day na biblioteca Buffa, usada em implementações Rust ligadas a dados em formato protobuf, pode permitir ataques de negação de serviço contra aplicações que processam mensagens não confiáveis. A falha foi identificada como CVE-2026-55407 e também rastreada como GHSA-f9qc-qg88-7pq5. O problema afeta versões do Buffa e do ConnectRPC anteriores à 0.8.0.
Na prática, um invasor pode enviar uma mensagem especialmente criada para forçar a aplicação a reservar uma quantidade muito grande de memória. Mesmo uma entrada relativamente pequena pode gerar consumo desproporcional de recursos.
Em uma demonstração, os pesquisadores mostraram que um arquivo de 64 MB poderia levar o processo a consumir cerca de 1,4 GB de memória. Em ambientes com limite de recursos, como contêineres Docker, isso pode fazer a aplicação ser encerrada automaticamente.
A Anthropic corrigiu o problema nas versões 0.8.0 do Buffa e do ConnectRPC. A atualização adiciona limites configuráveis para o processamento de campos desconhecidos, reduzindo o risco de consumo excessivo de memória.



