CVE-2026-8468

Nome do Software Vulnerável e Versões Afetadas plug versões 1.4.0 até 1.15.3 plug versão 1.16.3 plug versão 1.17.1 plug versão 1.18.2 plug versão 1.19.2

Description Existe um problema de acumulação de buffer ilimitada durante a análise de cabeçalhos multipart. A função read part headers/2 em lib/plug/conn.ex não obedece ao seu parâmetro :length e carece de um limite superior para o tamanho do buffer acumulado. Um invasor remoto não autenticado pode esgotar a memória do servidor enviando uma requisição multipart/form-data manipulada na qual o corpo nunca fornece uma seção de cabeçalho completa, como ao omitir o delimitador de limite ou a sequência r r . Isso faz com que o processo do servidor acumule memória linearmente, podendo levar a uma negação de serviço ao esgotar a memória BEAM.

Recommendations Atualize o plug para a versão 1.15.4 ou superior. Atualize o plug para uma versão posterior à 1.16.3. Atualize o plug para uma versão posterior à 1.17.1. Atualize o plug para uma versão posterior à 1.18.2. Atualize o plug para uma versão posterior à 1.19.2.