JVNDB-2026-011409

Vladislav Shakitskiy (vshakitskiy)のeweにおける複数の脆弱性

eweはGleam製のウェブサーバーです。バージョン0.8.0から3.0.4までには、handle_trailers関数にバグがあり、拒否されたトレーラー・ヘッダー（禁止または未宣言）が無限ループを引き起こします。handle_trailersがそのようなトレーラーに遭遇した場合、3つのコードパス（行520、523、526）は拒否されたヘッダーを超えずに元のバッファ（rest）で再帰し（Buffer(header_rest, 0)ではなく）、decoder.decode_packetが毎回同じヘッダーを再解析します。その結果のループにはタイムアウトや脱出手段がなく、BEAMプロセスは永久に100％のCPU使用率でハングアップします。chunkedリクエストでewe.read_bodyを呼び出すすべてのアプリケーションが影響を受けます。認証されていないリモートクライアントによってアプリケーションコードに制御が戻る前に悪用可能であるため、アプリケーションレベルでの回避策は不可能です。この問題はバージョン3.0.5で修正されました。

Vladislav Shakitskiy (vshakitskiy)

• ewe 0.8.0 以上 3.0.5 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Loop with Unreachable Exit Condition ('Infinite Loop') in ewe  Advisory  vshakitskiy/ewe  GitHub

1. 期限切れのポインタデリファレンス(CWE-825) [その他]
2. 無限ループ(CWE-835) [NVD評価]

1. CVE-2026-32873

1. National Vulnerability Database (NVD) : CVE-2026-32873
2. 関連文書 : patch the loop  vshakitskiy/ewe@d8b9b8a  GitHub
3. 関連文書 : use buffers  vshakitskiy/ewe@8513de9  GitHub

• [2026年04月17日]
    掲載