CVE-2026-27887

Spin is an open source developer tool for building and running serverless applications powered by WebAssembly. When Spin is configured to allow connections to a database or web server which could return responses of unbounded size (e.g. tables with many rows or large content bodies), Spin may in some cases attempt to buffer the entire response before delivering it to the guest, which can lead to the host process running out of memory, panicking, and crashing. In addition, a malicious guest application could incrementally insert a large number of rows or values into a database and then retrieve them all in a single query, leading to large host allocations. Spin 3.6.1, SpinKube 0.6.2, and `containerd-shim-spin` 0.22.1 have been patched to address the issue. As a workaround, configure Spin to only allow access to trusted databases and HTTP servers which limit response sizes.

CVSS

No CVSS.

References

Link	Resource
https://github.com/spinframework/spin/security/advisories/GHSA-mv4f-6ffm-32wx

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary		(es) Spin es una herramienta de desarrollo de código abierto para construir y ejecutar aplicaciones sin servidor impulsadas por WebAssembly. Cuando Spin está configurado para permitir conexiones a una base de datos o servidor web que podría devolver respuestas de tamaño ilimitado (p. ej., tablas con muchas filas o cuerpos de contenido grandes), Spin puede, en algunos casos, intentar almacenar en búfer la respuesta completa antes de entregarla al invitado, lo que puede llevar a que el proceso anfitrión se quede sin memoria, entre en pánico y se bloquee. Además, una aplicación invitada maliciosa podría insertar incrementalmente un gran número de filas o valores en una base de datos y luego recuperarlos todos en una sola consulta, lo que llevaría a grandes asignaciones del anfitrión. Spin 3.6.1, SpinKube 0.6.2 y 'containerd-shim-spin' 0.22.1 han sido parcheados para abordar el problema. Como solución alternativa, configure Spin para permitir el acceso solo a bases de datos y servidores HTTP de confianza que limiten los tamaños de respuesta.

26 Feb 2026, 02:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-26 02:16

Updated : 2026-04-15 00:35

NVD link : CVE-2026-27887

Mitre link : CVE-2026-27887

CVE.ORG link : CVE-2026-27887

JSON object : View

Products Affected

No product.

CWE

CWE-770

Allocation of Resources Without Limits or Throttling

CWE-774

Allocation of File Descriptors or Handles Without Limits or Throttling

CWE-789

Memory Allocation with Excessive Size Value

JSON object

Attach tags to CVE-2026-27887

Attach tags to `CVE-2026-27887`