CVE-2026-8468 in plug
Zusammenfassung
von VulDB • 24.05.2026
Die Schwachstelle „Allocation of Resources Without Limits or Throttling" (Ressourcenzuweisung ohne Begrenzung oder Drosselung) im Plug „plug_project plug" ermöglicht einen Denial-of-Service-Angriff (DoS) durch unbeschränkte Pufferakkumulation bei der Analyse von Multipart-Headern.
Die Funktion `:read_part_headers/2` in `lib/plug/conn.ex` (`Elixir.Plug.Conn`) hält sich nicht an ihren `:length`-Parameter. Es gibt keine Obergrenze für die Größe des akkumulierten Puffers. Im Gegensatz dazu verfügt die verwandte Funktion `read_part_body` über eine explizite `byte_size(acc) > length`-Prüfung, die die Akkumulation stoppt, sobald ein Limit erreicht ist. Eine solche Prüfung fehlt in `read_part_headers`. Ein nicht authentifizierter, entfernter Angreifer kann den Serverspeicher erschöpfen, indem er eine speziell angefertigte `multipart/form-data`-Anforderung sendet, was zu einem Denial of Service führt.
Dieses Problem betrifft `plug` in den Versionen von 1.4.0 bis vor 1.15.4, 1.16.3, 1.17.1, 1.18.2 und 1.19.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.