CVE-2026-39803: DoS em Bandit via Exaustão de Memória
Plataforma
other
Componente
bandit
Corrigido em
ae3520dfdbfab115c638f8c7f6f6b805db34e1ab
Uma vulnerabilidade de Denial of Service (DoS) foi descoberta no Bandit, especificamente na função 'read_data/2' do módulo 'lib/bandit/http1/socket.ex'. Essa falha permite que um atacante cause a exaustão de memória, levando à indisponibilidade do serviço. A vulnerabilidade afeta versões anteriores a 1.4.0 e foi corrigida nesta versão. A atualização para a versão mais recente é a mitigação recomendada.
Impacto e Cenários de Ataque
A vulnerabilidade de DoS no Bandit permite que um atacante cause a exaustão de memória ao enviar corpos de requisições HTTP/1 chunked sem limites. A função 'read_data/2' acumula todos os chunks recebidos em uma única lista, sem impor um limite de tamanho. Isso pode levar ao consumo excessivo de memória, resultando em lentidão, travamentos ou até mesmo a falha do processo do Bandit. Um atacante pode explorar essa vulnerabilidade enviando requisições HTTP/1 chunked com corpos muito grandes, sobrecarregando o sistema e tornando-o indisponível para outros usuários. A falta de limitação no tamanho dos dados lidos é a causa raiz da vulnerabilidade.
Contexto de Exploração
A vulnerabilidade foi publicada em 2026-05-13. A probabilidade de exploração é desconhecida, com a severidade pendente de avaliação. Não há informações disponíveis sobre campanhas ativas ou a presença da vulnerabilidade na KEV ou EPSS. A vulnerabilidade afeta a versão 1.4.0 e anteriores.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária para CVE-2026-39803 é atualizar o Bandit para a versão 1.4.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como limitar o tamanho máximo dos corpos de requisições HTTP/1 chunked. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear requisições HTTP/1 chunked excessivamente grandes também pode ajudar a mitigar o risco. Monitore o uso de memória do Bandit em busca de picos incomuns.
Como corrigirtraduzindo…
Actualice la biblioteca Bandit a la versión 1.11.1 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización corrige el problema al limitar el tamaño del cuerpo de la solicitud HTTP/1, evitando el agotamiento de la memoria.
Perguntas frequentes
O que é CVE-2026-39803 — DoS em Bandit via Exaustão de Memória?
CVE-2026-39803 é uma vulnerabilidade de Denial of Service (DoS) no Bandit, permitindo que um atacante cause a exaustão de memória ao ler corpos de requisições HTTP/1 chunked sem limites.
Estou afetado pelo CVE-2026-39803 em Bandit?
Se você estiver utilizando uma versão do Bandit anterior a 1.4.0, você está potencialmente afetado por esta vulnerabilidade. Verifique a versão instalada e aplique a correção.
Como corrigir CVE-2026-39803 em Bandit?
A correção é atualizar o Bandit para a versão 1.4.0 ou superior. Enquanto isso, limite o tamanho máximo dos corpos de requisições HTTP/1 chunked.
CVE-2026-39803 está sendo ativamente explorado?
Não há informações disponíveis sobre exploração ativa da vulnerabilidade no momento. A severidade está pendente de avaliação.
Onde posso encontrar o aviso oficial do Bandit para CVE-2026-39803?
Consulte o repositório do Bandit no GitHub ou o site oficial do Bandit para obter o aviso oficial.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...