CVE-2026-42786 in bandit
요약
\~에 의해 VulDB • 2026. 05. 10.
제한 없이 또는 제한 없이 리소스 할당 취약점이 mtrudel bandit에서 발견되어, 인증되지 않은 원격 상태에서 메모리 고갈을 통해 서비스 거부(Denial of Service)가 가능합니다.
'lib/bandit/websocket/connection.ex'의 'Elixir.Bandit.WebSocket.Connection':handle_frame/3 함수 내의 조각 재조립 경로는 들어오는 모든 Continuation{fin: false} 프레임의 페이로드를 누적 크기 제한 없이 연결별 iolist에 추가합니다. 기존 max_frame_size 옵션은 개별 프레임의 크기만 제한하며, fin=1을 설정하지 않고 무제한의 연속 프레임 스트림을 보내는 피어는 OS 또는 슈퍼바이저가 프로세스를 종료할 때까지 BEAM 힙을 선형적으로 증가시킵니다.
이러한 축적은 WebSock.handle_in/2가 호출되기 전에 발생하므로, 애플리케이션이 크기 검사를 끼워넣을 기회가 없습니다. Phoenix Channels와 LiveView는 모두 Bandit의 WebSock 위에서 동작하므로, 기본 Phoenix 애플리케이션은 소켓 연결을 수락하는 즉시 이 공격 표면을 노출하게 됩니다.
이 문제는 bandit 0.5.0부터 1.11.0 미만 버전까지 영향을 미칩니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.