Mat Trudel

**Nome do Software Vulnerável e Versões Afetadas** bandit versões 1.4.0 até 1.11.0 **Descrição** Um invasor remoto não autenticado pode causar a negação de serviço via exaustão de memória. A função `read data/2` em `Elixir.Bandit.HTTP1.Socket` ignora a opção `:length` ao processar corpos de requisição HTTP/1 chunked. Especificamente, a função `do read chunked data!/5` armazena cada chunk recebido em um iolist sem limitar o corpo acumulado ao limite configurado, materializando todo o corpo como um único binário. Como esse processo ocorre antes do roteamento e da autenticação em endpoints Phoenix padrão, o envio de uma única requisição POST com o cabeçalho `Transfer-Encoding: chunked` e um corpo arbitrariamente grande pode exaurir a memória do processo BEAM, levando à terminação pelo OOM killer do sistema operacional. **Recomendações** Atualize o bandit para a versão 1.11.1.

**Nome do Software Vulnerável e Versões Afetadas** bandit versões 1.6.1 até 1.11.0 **Descrição** Um loop infinito na função `do read chunked data!/5` em `lib/bandit/http1/socket.ex` permite que atacantes remotos não autenticados causem uma negação de serviço através da exaustão de processos trabalhadores. O problema ocorre porque a função termina apenas quando a linha do último chunk é seguida imediatamente por uma linha de trailer vazia, enquanto a RFC 9112 §7.1.2 permite zero ou mais campos de trailer. Quando trailers estão presentes, o processo entra em um estado de recursão com estado inalterado, prendendo o processo trabalhador durante toda a conexão TCP. Um pequeno número de requisições chunked simultâneas em conformidade com a RFC contendo campos de trailer pode exaurir o pool de trabalhadores, tornando o servidor inoperante. Isso pode ocorrer mesmo com tráfego legítimo encaminhado por proxies como NGINX e HAProxy. **Recomendações** Atualize o bandit para a versão 1.11.1.

**Nome do Software Vulnerável e Versões Afetadas** bandit versões 1.0.0 até 1.10.f **Descrição** A confiança em entradas não confiáveis em uma decisão de segurança permite a falsificação não autenticada do estado de transporte em conexões HTTP em texto simples. A função `determine scheme/2` em `Elixir.Bandit.Pipeline` retorna o esquema de URI fornecido pelo cliente literalmente, ignorando a flag de segurança do transporte. Isso ocorre porque os alvos de requisição em forma absoluta do HTTP/1.1 e o pseudo-cabeçalho `:scheme` do HTTP/2 são strings controladas pelo invasor. Consequentemente, um cliente pode declarar https em uma conexão TCP em texto simples, levando o sistema a definir `conn.scheme` como `:https` sem a negociação TLS. Isso engana os consumidores Plug a jusante, fazendo com que o Plug.SSL ignore redirecionamentos de HTTP para HTTPS, cookies seguros sejam enviados em texto simples, logs de auditoria registrem incorretamente o uso de HTTPS e o controle de CSRF ou SameSite tome decisões incorretas. Este problema afeta especificamente sistemas que aceitam conexões HTTP em texto simples, seja diretamente ou via h2c (HTTP/2 sobre TCP sem TLS). **Recomendações** Atualize o bandit para a versão 1.11.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** bandit versões 0.5.9 até 1.10.x **Descrição** Um invasor remoto não autenticado pode causar a negação de serviço via exaustão de memória quando a compressão permessage-deflate do WebSocket está habilitada. O problema ocorre porque a função `inflate/2` em `Elixir.Bandit.WebSocket.PerMessageDeflate` chama `:zlib.inflate/2` sem um limite de tamanho de saída e materializa a carga útil descompactada como um único binário usando `IO.iodata to binary/1`. Embora o `websocket options.max frame size` limite o tamanho do quadro compactado, ele não limita a saída descompactada. Consequentemente, um quadro compactado de alta proporção pode forçar alocações de heap em escala de GiB, esgotando a memória do nó BEAM e disparando a interrupção por falta de memória (OOM kill). Isso requer que tanto o `websocket options.compress` no nível do servidor quanto a opção `compress: true` por upgrade em `WebSockAdapter.upgrade/4` estejam habilitados. **Recomendações** Atualize para a versão 1.11.0 ou posterior. Como alternativa temporária, não passe `compress: true` para `WebSockAdapter.upgrade/4` ou defina-o como false para evitar a negociação do permessage-deflate.

**Nome do Software Vulnerável e Versões Afetadas** bandit versões 0.3.6 até 1.10.x **Descrição** Um problema na função `deserialize/2` em `Elixir.Bandit.HTTP2.Frame` permite a exaustão de memória não autenticada por meio de frames HTTP/2 superdimensionados. O sistema verifica o limite `SETTINGS MAX FRAME SIZE` apenas após a correspondência de padrão do tamanho do payload, exigindo que todo o corpo do frame esteja presente na memória antes que a guarda de tamanho seja avaliada. Isso permite que um peer anuncie um comprimento de frame de até o máximo de 24 bits (aproximadamente 16 MiB), forçando o servidor a armazenar todo o corpo, independentemente do `max frame size` negociado. Um invasor mantendo múltiplas conexões simultâneas pode causar pressão significativa de memória, levando a uma negação de serviço. **Recomendações** Atualize para a versão 1.11.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** bandit versões 0.5.0 até 1.10.x **Descrição** Uma alocação de recursos sem limites ou controle permite a negação de serviço remota não autenticada via exaustão de memória. O caminho de remontagem de fragmentos na função `handle frame/3` em 'Elixir.Bandit.WebSocket.Connection' anexa a carga útil de cada quadro de Continuação recebido, onde `fin` é falso, a um iolist por conexão sem um limite de tamanho cumulativo. Embora a opção `max frame size` limite quadros individuais, um agente remoto pode transmitir um número ilimitado de quadros de continuação sem definir `fin=1`, fazendo com que o heap do BEAM cresça linearmente até que o processo seja encerrado pelo sistema operacional ou por um supervisor. Essa acumulação ocorre antes que a função `handle in/2` seja chamada, impedindo que a aplicação implemente uma verificação de tamanho. Consequentemente, aplicações Phoenix padrão que utilizam Phoenix Channels ou LiveView ficam expostas ao aceitar conexões de socket. Este problema afeta especificamente aplicações que aceitam conexões WebSocket. **Recomendações** Atualize o bandit para a versão 1.11.0 ou posterior. Como medida de mitigação temporária, desative os endpoints WebSocket caso não sejam necessários para a aplicação.

**Nome do Software Vulnerável e Versões Afetadas** bandit versões anteriores a 1.11.0 **Descrição** A interpretação inconsistente de requisições HTTP permite o contrabando de requisições HTTP (HTTP request smuggling) através de cabeçalhos Content-Length duplicados. A função `get content length()` em `Elixir.Bandit.Headers` utiliza `List.keyfind/3`, que retorna apenas o primeiro cabeçalho correspondente. Quando uma requisição contém dois cabeçalhos Content-Length com valores diferentes, o sistema a aceita silenciosamente, utiliza o primeiro valor para ler o corpo e despacha os bytes restantes como uma segunda requisição pipelined na mesma conexão keep-alive. Este comportamento contraria a RFC 9112 §6.3, que exige que tais casos sejam tratados como erros de enquadramento irrecuperáveis. Quando posicionado atrás de um proxy que seleciona o último valor de Content-Length, um invasor não autenticado pode contrabandear requisições para burlar regras de WAF de borda, ACLs baseadas em caminho, limitação de taxa (rate limiting) e logs de auditoria. **Recomendações** Atualize para a versão 1.11.0 ou posterior.