Sintesi

Rilevata una nuova vulnerabilità con gravità “alta” in Plug, middleware web utilizzato in ambiente Elixir/Erlang per la gestione e l’elaborazione delle richieste HTTP. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di compromettere la disponibilità del servizio sui sistemi interessati.

Tipologia

• Denial of Service

Descrizione e potenziali impatti

Disponibile Proof of Concept (PoC) per la CVE-2026-54982 presente in Plug, middleware web utilizzato in ambiente Elixir/Erlang per la gestione e l’elaborazione delle richieste HTTP. Tale vulnerabilità, di tipo “Inefficient Algorithmic Complexity” e con score CVSS v4.0 pari a 8.7, è causata da un’errata gestione dei livelli di annidamento dei parametri nel decoder durante le operazioni sulle chiavi, rendendo la complessità quadratica rispetto alla profondità dell’annidamento. Un attaccante potrebbe sfruttare questa vulnerabilità inviando molteplici richieste per saturare gli scheduler compromettendo la disponibilità del servizio sui sistemi target.

Prodotti e/o versioni affette

Plug

• 1.15.x, versioni precedenti alla 1.15.5
• 1.16.x, versioni precedenti alla 1.16.4
• 1.17.x, versioni precedenti alla 1.17.2
• 1.18.x, versioni precedenti alla 1.18.3
• 1.19.x, versioni precedenti alla 1.19.3

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.