CVE-2026-39807

Nome do Software Vulnerável e Versões Afetadas bandit versões 1.0.0 até 1.10.f

Descrição A confiança em entradas não confiáveis em uma decisão de segurança permite a falsificação não autenticada do estado de transporte em conexões HTTP em texto simples. A função determine scheme/2 em Elixir.Bandit.Pipeline retorna o esquema de URI fornecido pelo cliente literalmente, ignorando a flag de segurança do transporte. Isso ocorre porque os alvos de requisição em forma absoluta do HTTP/1.1 e o pseudo-cabeçalho :scheme do HTTP/2 são strings controladas pelo invasor. Consequentemente, um cliente pode declarar https em uma conexão TCP em texto simples, levando o sistema a definir conn.scheme como :https sem a negociação TLS. Isso engana os consumidores Plug a jusante, fazendo com que o Plug.SSL ignore redirecionamentos de HTTP para HTTPS, cookies seguros sejam enviados em texto simples, logs de auditoria registrem incorretamente o uso de HTTPS e o controle de CSRF ou SameSite tome decisões incorretas. Este problema afeta especificamente sistemas que aceitam conexões HTTP em texto simples, seja diretamente ou via h2c (HTTP/2 sobre TCP sem TLS).

Recomendações Atualize o bandit para a versão 1.11.0 ou posterior.