CVE-2026-39803

Nome do Software Vulnerável e Versões Afetadas bandit versões 1.4.0 até 1.11.0

Descrição Um invasor remoto não autenticado pode causar a negação de serviço via exaustão de memória. A função read data/2 em Elixir.Bandit.HTTP1.Socket ignora a opção :length ao processar corpos de requisição HTTP/1 chunked. Especificamente, a função do read chunked data!/5 armazena cada chunk recebido em um iolist sem limitar o corpo acumulado ao limite configurado, materializando todo o corpo como um único binário. Como esse processo ocorre antes do roteamento e da autenticação em endpoints Phoenix padrão, o envio de uma única requisição POST com o cabeçalho Transfer-Encoding: chunked e um corpo arbitrariamente grande pode exaurir a memória do processo BEAM, levando à terminação pelo OOM killer do sistema operacional.

Recomendações Atualize o bandit para a versão 1.11.1.