CVE-2026-8468 in pluginformación

Resumen

por VulDB • 2026-05-14

Vulnerabilidad de asignación de recursos sin límites ni control de velocidad en el plug plug_project que permite una denegación de servicio mediante la acumulación ilimitada de búferes en el análisis de encabezados multipart.

La función `:read_part_headers/2` de `'Elixir.Plug.Conn'` en `lib/plug/conn.ex` no respeta su parámetro `:length`. No existe un límite superior en el tamaño del búfer acumulado. Por el contrario, la función hermana `read_part_body` tiene una guardia explícita `byte_size(acc) > length` que detiene la acumulación una vez alcanzado un límite. No existe tal guardia en `read_part_headers`. Un atacante remoto no autenticado puede agotar la memoria del servidor enviando una solicitud `multipart/form-data` manipulada, lo que provoca una denegación de servicio.

Este problema afecta a plug desde la versión 1.4.0 hasta antes de 1.15.4, así como en las versiones 1.16.3, 1.17.1, 1.18.2 y 1.19.2.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

EEF

Reservar

2026-05-13

Divulgación

2026-05-14

Moderación

aceptado

Artículo

VDB-363854

CPE

listo

EPSS

0.00269

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8468
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8468
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8468/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!