CVE-2026-39805

Nome do Software Vulnerável e Versões Afetadas bandit versões anteriores a 1.11.0

Descrição A interpretação inconsistente de requisições HTTP permite o contrabando de requisições HTTP (HTTP request smuggling) através de cabeçalhos Content-Length duplicados. A função get content length() em Elixir.Bandit.Headers utiliza List.keyfind/3, que retorna apenas o primeiro cabeçalho correspondente. Quando uma requisição contém dois cabeçalhos Content-Length com valores diferentes, o sistema a aceita silenciosamente, utiliza o primeiro valor para ler o corpo e despacha os bytes restantes como uma segunda requisição pipelined na mesma conexão keep-alive. Este comportamento contraria a RFC 9112 §6.3, que exige que tais casos sejam tratados como erros de enquadramento irrecuperáveis. Quando posicionado atrás de um proxy que seleciona o último valor de Content-Length, um invasor não autenticado pode contrabandear requisições para burlar regras de WAF de borda, ACLs baseadas em caminho, limitação de taxa (rate limiting) e logs de auditoria.

Recomendações Atualize para a versão 1.11.0 ou posterior.