CVE-2026-39803: DoS in Bandit via Memory Exhaustion
Plateforme
other
Composant
bandit
Corrigé dans
ae3520dfdbfab115c638f8c7f6f6b805db34e1ab
Une vulnérabilité de déni de service (DoS) a été découverte dans Bandit, affectant les versions 1.4.0 et antérieures. Cette faille, due à une allocation de ressources sans limites lors de la lecture de requêtes HTTP/1 chunked, peut entraîner une consommation excessive de mémoire et un crash du service. La mise à jour vers la version corrigée ae3520dfdbfab115c638f8c7f6f6b805db34e1ab est recommandée.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité DoS permet à un attaquant de provoquer un crash du service Bandit en envoyant des requêtes HTTP/1 chunked malformées. Cela peut entraîner une indisponibilité du service, affectant potentiellement les applications qui dépendent de Bandit pour le routage et le proxy des requêtes HTTP. L'attaquant n'a pas besoin d'authentification pour exploiter cette vulnérabilité. La perte de service peut avoir un impact significatif sur la disponibilité des applications et des services web.
Contexte d'Exploitation
La vulnérabilité a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de la large utilisation de Bandit. Il n'y a pas d'indications d'une exploitation active ou de campagnes ciblées connues à ce jour. Le score EPSS n'est pas disponible. Consultez les avis de sécurité de mtrudel pour plus d'informations.
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
Mitigation et Contournements
La mitigation principale consiste à mettre à jour Bandit vers la version corrigée ae3520dfdbfab115c638f8c7f6f6b805db34e1ab. En attendant la mise à jour, il est possible de limiter la taille des requêtes HTTP/1 chunked acceptées par Bandit via la configuration du service. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes malformées susceptibles de provoquer une consommation excessive de mémoire. Après la mise à jour, vérifiez le fonctionnement normal du service en effectuant des tests de charge.
Comment corrigertraduction en cours…
Actualice la biblioteca Bandit a la versión 1.11.1 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización corrige el problema al limitar el tamaño del cuerpo de la solicitud HTTP/1, evitando el agotamiento de la memoria.
Questions fréquentes
Que signifie CVE-2026-39803 — DoS dans Bandit ?
CVE-2026-39803 décrit une vulnérabilité de déni de service dans Bandit, permettant à un attaquant de provoquer un crash du service via une consommation excessive de mémoire.
Suis-je affecté par CVE-2026-39803 dans Bandit ?
Si vous utilisez Bandit version 1.4.0 ou antérieure, vous êtes affecté. Mettez à jour vers la version corrigée.
Comment corriger CVE-2026-39803 dans Bandit ?
Mettez à jour Bandit vers la version ae3520dfdbfab115c638f8c7f6f6b805db34e1ab.
CVE-2026-39803 est-il activement exploité ?
Il n'y a pas d'indications d'une exploitation active, mais la vigilance est de mise.
Où puis-je trouver l'avis officiel de mtrudel pour CVE-2026-39803 ?
Consultez le site web de mtrudel ou les canaux de communication officiels pour obtenir des informations sur cette vulnérabilité.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...