CVE-2026-8468 in plug
요약
\~에 의해 VulDB • 2026. 05. 14.
제한 없이 또는 스로틀링 없이 리소스 할당 취약점이 plug_project plug에서 발생하며, 이는 multipart 헤더 파싱 시 무제한 버퍼 축적을 통해 서비스 거부(Denial of Service)를 유발할 수 있습니다.
lib/plug/conn.ex의 'Elixir.Plug.Conn':read_part_headers/2 함수는 :length 매개변수를 준수하지 않습니다. 축적된 버퍼의 크기에 대한 상한선이 없습니다. 반면, 형제 함수인 read_part_body에는 명시적인 byte_size(acc) > length 가드가 있어 제한에 도달하면 축적이 중단됩니다. read_part_headers에는 이러한 가드가 존재하지 않습니다. 인증되지 않은 원격 공격자가 조작된 multipart/form-data 요청을 전송하여 서버 메모리를 고갈시키고 서비스 거부를 유발할 수 있습니다.
이 문제는 plug 1.4.0부터 1.15.4 이전, 1.16.3, 1.17.1, 1.18.2 및 1.19.2 버전에서 영향을 받습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.