Mateusz Front

**Nome do Software Vulnerável e Versões Afetadas** membrane mp4 plugin versões 0.3.0 até 0.36.6 **Description** Uma negação de serviço não autenticada pode ocorrer via exaustão da tabela de átomos BEAM. O analisador de cabeçalho de caixa MP4 converte nomes de caixa de 4 bytes em átomos usando a função `String.to atom/1` sem validação. Especificamente, a função `parse box name/1` em `lib/membrane mp4/container/header.ex` interna cada nome de caixa encontrado enquanto a função `parse/1` processa a entrada. Como os átomos BEAM não são coletados pelo garbage collector, cada nome único controlado por um invasor resulta em uma alocação permanente. Um arquivo MP4 manipulado de aproximadamente 8 MB contendo cerca de 1,1 milhão de caixas com nomes não padronizados distintos pode exaurir a tabela de átomos, que possui um limite padrão de cerca de 1.048.576 átomos, fazendo com que todo o nó BEAM e todos os aplicativos em execução sejam abortados. **Recommendations** Atualize o membrane mp4 plugin para a versão 0.36.7.