無料スキャン
分析待ちCVE-2026-39806

CVE-2026-39806: DoS in Bandit 1.6.1 – ae3520dfdbfab115c638f8c7f6f6b805db34e1ab

プラットフォーム

linux

コンポーネント

bandit

修正版

ae3520dfdbfab115c638f8c7f6f6b805db34e1ab

NVDで見る
保存

CVE-2026-39806 は、Bandit 1.6.1–ae3520dfdbfab115c638f8c7f6f6b805db34e1ab 以前のバージョンに存在する無限ループの脆弱性です。この脆弱性は、HTTP/1 ソケットの処理におけるエラーにより、攻撃者がワーカープロセスを枯渇させ、サービス拒否(DoS)を引き起こす可能性があります。脆弱性は 2026年5月13日に公開され、バージョン ae3520dfdbfab115c638f8c7f6f6b805db34e1ab で修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者が認証なしでリモートからDoS攻撃を実行できることを意味します。攻撃者は、RFC 9112に準拠したHTTP/1リクエストを送信することで、Banditのワーカープロセスを過剰に消費させ、サービスを停止させることが可能です。これにより、Banditに依存するアプリケーションやサービスが利用不能になる可能性があります。特に、Banditを公開インターネットに直接公開している環境や、多数のリクエストを処理する環境では、深刻な影響を受ける可能性があります。この脆弱性は、HTTP/1プロトコルを適切に処理しないことによって発生しており、同様のプロトコル実装を持つ他のシステムにも影響を与える可能性があります。

悪用の状況

この脆弱性は、公開されており、攻撃者が容易に悪用できる可能性があります。KEV(Kernel Exploitability Tag)やEPSS(Exploit Prediction Score System)の評価はまだ公開されていません。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されているため、今後悪用される可能性は否定できません。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の情報を入手するようにしてください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
レポート1 脅威レポート

CISA SSVC

悪用状況poc
自動化可能yes
技術的影響partial

影響を受けるソフトウェア

コンポーネントbandit
ベンダーmtrudel
最小バージョン1.6.1
最大バージョンae3520dfdbfab115c638f8c7f6f6b805db34e1ab
修正版ae3520dfdbfab115c638f8c7f6f6b805db34e1ab

弱点分類 (CWE)

CWE-835

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

この脆弱性への対応策として、Banditをバージョン ae3520dfdbfab115c638f8c7f6f6b805db34e1ab 以降に更新することを推奨します。更新が困難な場合は、WAF(Web Application Firewall)やリバースプロキシを使用して、悪意のあるHTTP/1リクエストをフィルタリングするルールを実装することを検討してください。具体的には、異常に長いトラILERSセクションを持つリクエストや、RFC 9112に準拠していないリクエストをブロックするルールを適用できます。また、Banditのログを監視し、異常なリクエストパターンを検出することも有効です。更新後、Banditの正常な動作を確認し、DoS攻撃が発生していないことを確認してください。

修正方法翻訳中…

Actualice la biblioteca Bandit a la versión 1.11.1 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización corrige un bucle infinito en el decodificador HTTP/1 que puede ser explotado por solicitudes con campos de trailer.

よくある質問

CVE-2026-39806 — DoS in Bandit 1.6.1–ae3520dfdbfab115c638f8c7f6f6b805db34e1ab とは何ですか?

CVE-2026-39806 は、Bandit 1.6.1–ae3520dfdbfab115c638f8c7f6f6b805db34e1ab 以前のバージョンにおける無限ループの脆弱性で、認証されていないリモートのDoS攻撃によりワーカープロセスが枯渇する可能性があります。

CVE-2026-39806 in Bandit 1.6.1–ae3520dfdbfab115c638f8c7f6f6b805db34e1ab に影響を受けますか?

Bandit 1.6.1–ae3520dfdbfab115c638f8c7f6f6b805db34e1ab 以前のバージョンを使用している場合は、影響を受けます。バージョン ae3520dfdbfab115c638f8c7f6f6b805db34e1ab 以降に更新してください。

CVE-2026-39806 in Bandit 1.6.1–ae3520dfdbfab115c638f8c7f6f6b805db34e1ab をどのように修正しますか?

Banditをバージョン ae3520dfdbfab115c638f8c7f6f6b805db34e1ab 以降に更新してください。更新が困難な場合は、WAFルールで緩和策を講じてください。

CVE-2026-39806 は積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されているため、今後悪用される可能性は否定できません。

CVE-2026-39806 のための公式Banditアドバイザリはどこで入手できますか?

公式アドバイザリは、Banditのプロジェクトウェブサイトまたは関連するセキュリティ情報源で確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...