CVE-2026-32873 in ewe
Zusammenfassung
von VulDB • 22.05.2026
ewe ist ein Gleam-Webserver. Die Versionen 0.8.0 bis 3.0.4 enthalten einen Fehler in der Funktion `handle_trailers`, bei dem abgelehnte Trailer-Header (verboten oder nicht deklariert) eine Endlosschleife verursachen. Wenn `handle_trailers` auf einen solchen Trailer trifft, rekursieren drei Codepfade (Zeilen 520, 523, 526) mit dem ursprünglichen Puffer (`rest`), anstatt über den abgelehnten Header hinauszugehen (`Buffer(header_rest, 0)`), wodurch `decoder.decode_packet` den gleichen Header bei jeder Iteration erneut analysiert. Die resultierende Schleife verfügt über keinen Timeout oder eine Ausstiegsmöglichkeit – der BEAM-Prozess bleibt dauerhaft bei 100 % CPU-Auslastung hängen. Jede Anwendung, die `ewe.read_body` bei chunked-Anfragen aufruft, ist betroffen, und dies kann von jedem nicht authentifizierten Remote-Client ausgenutzt werden, bevor die Kontrolle an den Anwendungscode zurückgegeben wird, was eine Workaround-Lösung auf Anwendungsebene unmöglich macht. Dieses Problem wurde in Version 3.0.5 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.