無料スキャン
分析待ちCVE-2026-39803

CVE-2026-39803: DoS in Bandit 1.4.0

プラットフォーム

other

コンポーネント

bandit

修正版

ae3520dfdbfab115c638f8c7f6f6b805db34e1ab

NVDで見る
保存

Bandit 1.4.0において、HTTP/1チャンク化されたリクエストボディの読み取り処理にリソース制限がないため、DoS(Denial of Service)の脆弱性が存在します。攻撃者は、大量のデータを送信することでメモリを使い果たし、サービスを停止させることが可能です。この脆弱性は、バージョンae3520dfdbfab115c638f8c7f6f6b805db34e1abで修正されています。

影響と攻撃シナリオ

このDoS脆弱性を悪用されると、Banditサービスがメモリを使い果たし、応答できなくなる可能性があります。これにより、正規のユーザーはサービスにアクセスできなくなり、ビジネスの中断やデータ損失につながる可能性があります。攻撃者は、Banditサービスをダウンさせることで、他のシステムへの攻撃を隠蔽したり、妨害したりする可能性があります。この脆弱性は、特にBanditを公開サーバー上で実行している場合に、深刻な影響をもたらす可能性があります。

悪用の状況

この脆弱性は、2026年5月13日に公開されました。現時点では、KEV(Kernel Exploitability Tag)への登録状況は不明です。EPSS(Exploit Prediction Score System)による評価も未定です。公開されている情報に基づくと、攻撃者はこの脆弱性を悪用して、Banditサービスをダウンさせることが可能です。攻撃の兆候がないか、システムログを監視することが重要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
レポート1 脅威レポート

CISA SSVC

悪用状況poc
自動化可能yes
技術的影響partial

影響を受けるソフトウェア

コンポーネントbandit
ベンダーmtrudel
最小バージョン1.4.0
最大バージョンae3520dfdbfab115c638f8c7f6f6b805db34e1ab
修正版ae3520dfdbfab115c638f8c7f6f6b805db34e1ab

弱点分類 (CWE)

CWE-770

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

Bandit 1.4.0を使用している場合は、速やかにバージョンae3520dfdbfab115c638f8c7f6f6b805db34e1abにアップデートしてください。アップデートできない場合は、WAF(Web Application Firewall)を導入し、HTTP/1チャンク化されたリクエストボディのサイズを制限するルールを設定することが推奨されます。また、Banditの設定で、リクエストボディの最大サイズを制限することも有効です。アップデート後、Banditサービスが正常に動作していることを確認してください。

修正方法翻訳中…

Actualice la biblioteca Bandit a la versión 1.11.1 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización corrige el problema al limitar el tamaño del cuerpo de la solicitud HTTP/1, evitando el agotamiento de la memoria.

よくある質問

CVE-2026-39803 — DoS in Bandit 1.4.0とは何ですか?

CVE-2026-39803は、Bandit 1.4.0におけるリソース割り当て制限の欠如によるDoS脆弱性です。攻撃者はメモリを使い果たし、サービス拒否を引き起こす可能性があります。

CVE-2026-39803 in Bandit 1.4.0の影響を受けていますか?

Bandit 1.4.0を使用している場合は、影響を受けています。速やかにバージョンae3520dfdbfab115c638f8c7f6f6b805db34e1abにアップデートしてください。

CVE-2026-39803 in Bandit 1.4.0を修正するにはどうすればよいですか?

バージョンae3520dfdbfab115c638f8c7f6f6b805db34e1abにアップデートしてください。アップデートできない場合は、WAFを導入してリクエストボディのサイズを制限してください。

CVE-2026-39803は積極的に悪用されていますか?

現時点では、積極的に悪用されているという報告はありません。しかし、脆弱性が公開されているため、攻撃の兆候がないか監視することが重要です。

CVE-2026-39803に関するBanditの公式アドバイザリはどこで入手できますか?

Banditの公式ウェブサイトまたは関連するセキュリティコミュニティで確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...