Oban Web · Oban Web · CVE-2026-48593
**Nome do Software Vulnerável e Versões Afetadas**
oban web versões 2.12.0 até 2.12.4
**Descrição**
O Consumo Não Controlado de Recursos no módulo `Elixir.Oban.Web.CronExpr` permite a exaustão de memória através da expansão ilimitada de intervalos de cron. Um invasor com permissões para agendar tarefas cron pode enviar uma expressão cron maliciosa. Quando um usuário com acesso ao painel de controle visualiza a lista de tarefas cron, a função `describe/1` é chamada para renderizar a expressão. A função `parse range/1` analisa os limites do intervalo usando `Integer.parse/1` sem verificação de limites, e os auxiliares `expand dom parts/1` e `expand dow parts/1` materializam o intervalo ansiosamente via `Enum.to list/1`. Esse processo pode levar à alocação de aproximadamente 2,4 GB de memória, resultando no travamento ou falha do nó BEAM (a Máquina Virtual Erlang).
**Recomendações**
Atualize o oban web para a versão 2.12.5.