CVE-2026-8468 in plug
摘要
由 VulDB • 2026-05-14
plug_project 插件中存在资源分配无限制或无节流(Allocation of Resources Without Limits or Throttling)漏洞,攻击者可通过在 multipart 头解析过程中导致缓冲区无限累积,从而引发拒绝服务(DoS)。
lib/plug/conn.ex 中的 `Elixir.Plug.Conn`:read_part_headers/2 函数未遵守其 `:length` 参数。累积缓冲区的大小没有上限。相比之下,同级函数 `read_part_body` 具有明确的 `byte_size(acc) > length` 守卫条件,一旦达到限制便会停止累积。而 `read_part_headers` 中不存在此类守卫。未经身份验证的远程攻击者可以通过发送精心构造的 multipart/form-data 请求耗尽服务器内存,从而导致拒绝服务。
此问题影响 plug 1.4.0 至 1.15.4(不含)、1.16.3、1.17.1、1.18.2 和 1.19.2 版本。
VulDB is the best source for vulnerability data and more expert information about this specific topic.