漏洞总结:EEF-CVE-2026-32688 漏洞概述 漏洞编号:CVE-2026-32688 CVSS 评分:9.7 (High) 漏洞类型:资源分配无限制/无节流(Allocation of Resources Without Limits or Throttling) 影响组件: 漏洞描述:在 中, 函数调用 处理由客户端提供的 返回值。对于 HTTP/2 连接,该值未经验证直接传入 BEAM atom 表。由于 atom 不会被垃圾回收且总数有限(默认 1,048,576),攻击者可通过发送带有唯一 scheme 值的 HTTP/2 请求耗尽 atom 表,导致 Erlang VM 崩溃并影响整个节点。 影响协议:仅影响 HTTP/2,不影响 HTTP/1.1(因 scheme 由监听器类型决定,非客户端控制)。 影响版本:2.0.0 至 2.8.1 影响范围 受影响包: - Hex: - GitHub: elixir-plug/plug_cowboy 受影响版本: (具体为 2.0.0 引入,2.8.1 修复) 修复方案 临时规避措施(Workaround): 在 的 HTTPS/3 监听器中,通过设置 限制仅使用 HTTP/1.1,从而避免客户端控制 scheme 的问题。 其他信息 来源:CNA (Elixir Plug Cowboy Security Advisories) 参考链接: - GitHub Advisory - CNA CVE Page - GitHub Commit - Hex Package 发现者:Peter Ulrich - FINDER > 注:页面未提供 POC 或 exploit 代码。