CVE-2026-39806: Denial of Service in Bandit 1.6.1
Plataforma
linux
Componente
bandit
Corrigido em
ae3520dfdbfab115c638f8c7f6f6b805db34e1ab
A vulnerabilidade CVE-2026-39806 é uma falha de negação de serviço (DoS) descoberta no Bandit, especificamente na forma como lida com o encerramento de conexões HTTP/1. Permite que um atacante remoto cause a exaustão dos processos de worker, levando à indisponibilidade do serviço. A vulnerabilidade afeta versões anteriores a ae3520dfdbfab115c638f8c7f6f6b805db34e1ab e foi publicada em 13 de maio de 2026. A correção já foi disponibilizada.
Impacto e Cenários de Ataque
Um atacante pode explorar esta vulnerabilidade enviando solicitações HTTP/1 malformadas com trailers que não seguem o padrão RFC 9112. Ao enviar trailers entre a linha de encerramento (0\r\n) e a linha de trailer vazia (\r\n), o Bandit entra em um loop infinito, consumindo recursos do sistema. Este loop contínuo leva à exaustão dos processos de worker, tornando o serviço indisponível para usuários legítimos. O impacto é a interrupção do serviço Bandit, com potencial para afetar aplicações que dependem dele para roteamento e balanceamento de carga.
Contexto de Exploração
A vulnerabilidade foi publicada em 13 de maio de 2026. A probabilidade de exploração ativa é baixa, pois a vulnerabilidade requer um conhecimento específico do protocolo HTTP/1 e da implementação do Bandit. Não há evidências públicas de campanhas ativas explorando esta vulnerabilidade no momento da publicação. A vulnerabilidade não está listada no KEV (Known Exploited Vulnerabilities) da CISA.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o Bandit para a versão corrigida ae3520dfdbfab115c638f8c7f6f6b805db34e1ab. Se a atualização imediata não for possível, considere implementar um Web Application Firewall (WAF) ou proxy reverso para inspecionar o tráfego HTTP/1 e bloquear solicitações com trailers inesperados. Configure o WAF para rejeitar solicitações que contenham trailers entre a linha de encerramento e a linha de trailer vazia. Monitore os logs do Bandit em busca de padrões de solicitações HTTP/1 incomuns que possam indicar tentativas de exploração.
Como corrigirtraduzindo…
Actualice la biblioteca Bandit a la versión 1.11.1 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización corrige un bucle infinito en el decodificador HTTP/1 que puede ser explotado por solicitudes con campos de trailer.
Perguntas frequentes
O que é CVE-2026-39806 — Denial of Service em Bandit?
CVE-2026-39806 é uma vulnerabilidade de negação de serviço no Bandit 1.6.1 que permite a exaustão de processos de worker através de solicitações HTTP/1 malformadas.
Estou afetado por CVE-2026-39806 em Bandit?
Se você estiver usando uma versão do Bandit anterior a ae3520dfdbfab115c638f8c7f6f6b805db34e1ab, você está potencialmente afetado.
Como corrigir CVE-2026-39806 em Bandit?
Atualize o Bandit para a versão corrigida ae3520dfdbfab115c638f8c7f6f6b805db34e1ab.
CVE-2026-39806 está sendo ativamente explorado?
Não há evidências públicas de exploração ativa no momento da publicação, mas a vulnerabilidade pode ser explorada.
Onde posso encontrar o aviso oficial do Bandit para CVE-2026-39806?
Consulte o site oficial do Bandit ou o repositório do projeto para obter informações e avisos de segurança.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...