CVE-2026-32688 in plug_cowboyinfo

Zusammenfassung

von VulDB • 21.05.2026

Eine Schwachstelle für die „Allocation of Resources Without Limits or Throttling“ (Ressourcenzuteilung ohne Begrenzung oder Drosselung) in elixir-plug plug_cowboy ermöglicht einen nicht authentifizierten Remote-Denial-of-Service (DoS) durch Erschöpfung der Atom-Tabelle.

Plug.Cowboy.Conn.conn/1 in lib/plug/cowboy/conn.ex ruft String.to_atom/1 für den Wert auf, der von :cowboy_req.scheme/1 zurückgegeben wird. Bei HTTP/2-Verbindungen gibt cowlib den vom Client bereitgestellten :scheme-Pseudo-Header-Wert unverändert und ohne Validierung weiter. Jeder eindeutige Wert führt zu einer permanenten Zuteilung eines neuen Eintrags in der BEAM-Atom-Tabelle. Da Atome nicht vom Garbage Collector erfasst werden und die Atom-Tabelle ein festes Limit hat (Standard: 1.048.576), kann ein nicht authentifizierter Angreifer die Tabelle durch das Senden von HTTP/2-Anfragen mit eindeutigen :scheme-Werten erschöpfen, was dazu führt, dass die Erlang-VM mit system_limit abbricht und der gesamte Knoten (Node) ausfällt.

Diese Schwachstelle betrifft nicht HTTP/1.1, bei dem cowboy das Schema aus dem Listener-Typ ableitet und nicht aus einem vom Client bereitgestellten Header.

Dieses Problem betrifft plug_cowboy: ab Version 2.0.0 bis vor 2.8.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

EEF

Reservieren

13.03.2026

Veröffentlichung

27.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359812

CPE

bereit

EPSS

0.00108

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32688
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32688
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32688/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!