Vulnerabilidad en OTP de Erlang (CVE-2026-23941)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/03/2026
Última modificación:
21/05/2026
Descripción
La vulnerabilidad de Interpretación inconsistente de solicitudes HTTP (&#39;Contrabando de solicitudes HTTP&#39;) en Erlang OTP (módulo inets httpd) permite el contrabando de solicitudes HTTP.<br />
<br />
Esta vulnerabilidad está asociada con los archivos de programa lib/inets/src/http_server/httpd_request.erl y las rutinas de programa httpd_request:parse_headers/7.<br />
<br />
El servidor no rechaza ni normaliza los encabezados Content-Length duplicados. El Content-Length más temprano en la solicitud se utiliza para el análisis del cuerpo, mientras que los proxies inversos comunes (nginx, Apache httpd, Envoy) respetan el último valor de Content-Length. Esto viola la Sección 6.3 de RFC 9112 y permite la desincronización front-end/back-end, dejando bytes controlados por el atacante en cola como el inicio de la siguiente solicitud.<br />
<br />
Este problema afecta a OTP desde OTP 17.0 hasta OTP 28.4.1, OTP 27.3.4.9 y OTP 26.2.5.18, lo que corresponde a inets desde 5.10 hasta 9.6.1, 9.3.2.3 y 9.1.0.5.
Impacto
Puntuación base 4.0
7.00
Gravedad 4.0
ALTA
Puntuación base 3.x
9.40
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:erlang:erlang\/inets:*:*:*:*:*:*:*:* | 5.10 (incluyendo) | 9.1.0.5 (excluyendo) |
| cpe:2.3:a:erlang:erlang\/inets:*:*:*:*:*:*:*:* | 9.3 (incluyendo) | 9.3.2.3 (excluyendo) |
| cpe:2.3:a:erlang:erlang\/inets:*:*:*:*:*:*:*:* | 9.6 (incluyendo) | 9.6.1 (excluyendo) |
| cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* | 17.0 (incluyendo) | 26.2.5.18 (excluyendo) |
| cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* | 27.0 (incluyendo) | 27.3.4.9 (excluyendo) |
| cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* | 28.0 (incluyendo) | 28.4.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cna.erlef.org/cves/CVE-2026-23941.html
- https://github.com/erlang/otp/commit/a4b46336fd25aa100ac602eb9a627aaead7eda18
- https://github.com/erlang/otp/commit/a761d391d8d08316cbd7d4a86733ba932b73c45b
- https://github.com/erlang/otp/commit/e775a332f623851385ab6ddb866d9b150612ddf6
- https://github.com/erlang/otp/security/advisories/GHSA-w4jc-9wpv-pqh7
- https://osv.dev/vulnerability/EEF-CVE-2026-23941
- https://www.erlang.org/doc/system/versions.html#order-of-versions



