Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en OTP de Erlang (CVE-2026-23941)

Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/03/2026
Última modificación:
21/05/2026

Descripción

La vulnerabilidad de Interpretación inconsistente de solicitudes HTTP (&amp;#39;Contrabando de solicitudes HTTP&amp;#39;) en Erlang OTP (módulo inets httpd) permite el contrabando de solicitudes HTTP.<br /> <br /> Esta vulnerabilidad está asociada con los archivos de programa lib/inets/src/http_server/httpd_request.erl y las rutinas de programa httpd_request:parse_headers/7.<br /> <br /> El servidor no rechaza ni normaliza los encabezados Content-Length duplicados. El Content-Length más temprano en la solicitud se utiliza para el análisis del cuerpo, mientras que los proxies inversos comunes (nginx, Apache httpd, Envoy) respetan el último valor de Content-Length. Esto viola la Sección 6.3 de RFC 9112 y permite la desincronización front-end/back-end, dejando bytes controlados por el atacante en cola como el inicio de la siguiente solicitud.<br /> <br /> Este problema afecta a OTP desde OTP 17.0 hasta OTP 28.4.1, OTP 27.3.4.9 y OTP 26.2.5.18, lo que corresponde a inets desde 5.10 hasta 9.6.1, 9.3.2.3 y 9.1.0.5.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:erlang:erlang\/inets:*:*:*:*:*:*:*:* 5.10 (incluyendo) 9.1.0.5 (excluyendo)
cpe:2.3:a:erlang:erlang\/inets:*:*:*:*:*:*:*:* 9.3 (incluyendo) 9.3.2.3 (excluyendo)
cpe:2.3:a:erlang:erlang\/inets:*:*:*:*:*:*:*:* 9.6 (incluyendo) 9.6.1 (excluyendo)
cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* 17.0 (incluyendo) 26.2.5.18 (excluyendo)
cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* 27.0 (incluyendo) 27.3.4.9 (excluyendo)
cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* 28.0 (incluyendo) 28.4.1 (excluyendo)