CVE-2026-32688: Atom table exhaustion via HTTP/2 :scheme pseudo-header in plug_cowboy 漏洞概述 在 中存在一个“资源分配无限制或节流”(CWE-770)漏洞。攻击者可通过发送带有唯一 值的 HTTP/2 请求,导致 BEAM 虚拟机原子表(atom table)耗尽,进而引发系统限制(system limit)错误并导致整个节点崩溃。 该漏洞仅影响 HTTP/2 连接,因为 会未经验证地直接传递客户端提供的 pseudo-header 值。HTTP/1.1 不受影响,因为其 scheme 由监听器类型决定。 影响范围 受影响组件: 受影响版本: 2.0.0 至 2.8.1 CVSS 评分: 8.7 (HIGH) CWE: CWE-770 CAPEC: CAPEC-125 修复方案 已修复版本: Git 修复提交: (状态: Affected) / (状态: Fixed) 临时规避措施 (Workarounds) 禁用 监听器上的 HTTP/2,通过传递 实现。这将强制监听器使用 HTTP/1.1,从而避免该漏洞。