Yordis Prieto

**Nome do Software Vulnerável e Versões Afetadas** tesla versões 0.6.0 até 1.18.2 **Descrição** O manuseio inadequado de dados altamente compactados permite a negação de serviço por meio de uma bomba de descompressão em corpos de resposta HTTP. Quando `Tesla.Middleware.DecompressResponse` ou `Tesla.Middleware.Compression` é incluído em um pipeline de middleware, os corpos de resposta são descompactados ansiosamente sem limite de tamanho. Especificamente, a função `decompress body/2` passa todo o corpo da resposta para `:zlib.gunzip/1` ou `:zlib.unzip/1` sem limitar o tamanho da saída. Além disso, a função `compression algorithms/1` divide o cabeçalho `content-encoding` por vírgulas, e a `decompress body/2` recursa para cada token. Um servidor que forneça múltiplas camadas de gzip no cabeçalho `content-encoding` pode causar amplificação exponencial, onde um payload pequeno infla para gigabytes de heap BEAM, esgotando a memória e travando ou congelando o processo. **Recomendações** Atualize para a versão 1.18.3. Como medida paliativa temporária, evite incluir `Tesla.Middleware.DecompressResponse` ou `Tesla.Middleware.Compression` no pipeline de middleware do Tesla.

**Nome do Software Vulnerável e Versões Afetadas** tesla versões 1.4.0 até 1.18.2 **Description** O manuseio inadequado de sensibilidade a maiúsculas e minúsculas no middleware `Tesla.Middleware.FollowRedirects` permite o vazamento de credenciais para origens de terceiros durante redirecionamentos cross-origin. O sistema utiliza uma comparação de string sensível a maiúsculas/minúsculas contra uma lista de filtros em letras minúsculas contendo `authorization` e `host` para remover cabeçalhos sensíveis. No entanto, como os nomes dos cabeçalhos HTTP não diferenciam maiúsculas de minúsculas conforme a RFC 7230 e o Tesla preserva as chaves dos cabeçalhos exatamente como fornecidas, cabeçalhos que utilizam a capitalização canônica, como `Authorization`, não correspondem ao filtro em letras minúsculas e são encaminhados para o destino do redirecionamento. Um invasor capaz de influenciar uma resposta `Location:` pode capturar tokens de portador ou outros materiais de autorização. **Recommendations** Atualize para a versão 1.18.3. Normalize todas as chaves de cabeçalho para letras minúsculas antes de passá-las para o software, especificamente utilizando `authorization` em vez de `Authorization` ao definir cabeçalhos via `Tesla.put header/3` ou `Tesla.Middleware.Headers`.

**Nome do Software Vulnerável e Versões Afetadas** tesla versões 0.8.0 até 1.18.2 **Description** A Neutralização Imprópria de Sequências CRLF em Cabeçalhos HTTP, também conhecida como HTTP Request/Response Splitting, permite a injeção de cabeçalhos HTTP. A função `add content type param/2` no módulo `Tesla.Multipart` anexa strings fornecidas pelo chamador à lista `content type params` sem validar caracteres de Retorno de Carro (`r`) ou Alimentação de Linha (` `). Posteriormente, a função `headers/1` em `Tesla.Multipart` junta esses parâmetros literalmente para construir o valor do cabeçalho Content-Type de saída. Se um parâmetro contiver `r `, ele divide a linha do cabeçalho, permitindo a injeção de cabeçalhos arbitrários na requisição HTTP de saída. Isso ocorre quando uma aplicação encaminha entradas não confiáveis, como um charset ou string de parâmetro fornecido pelo usuário, para a função `add content type param/2`. **Recommendations** Atualize para a versão 1.18.3 ou posterior. Como medida paliativa temporária, valide as strings de parâmetros de content-type antes de passá-las para a função `add content type param/2`, rejeitando qualquer valor que contenha `r` ou ` `.

**Nome do Software Vulnerável e Versões Afetadas** tesla versões 1.3.0 até 1.18.2 **Descrição** Um problema no Tesla.Adapter.Mint permite a negação de serviço via exaustão da tabela de átomos. A função `open conn/2` converte o esquema de URL de requisições de saída em um átomo BEAM usando `String.to atom(uri.scheme)` sem validação de lista de permissões. Átomos BEAM são entradas permanentes que não são coletadas pelo garbage collector e são limitadas a uma tabela de aproximadamente 1.048.576 entradas. Um invasor capaz de influenciar a URL da requisição — por meio de recursos de encaminhamento de URL no nível da aplicação, como webhooks, proxies ou importadores, ou via um cabeçalho Location quando o `Tesla.Middleware.FollowRedirects` está ativo — pode criar um novo átomo para cada requisição variando a string do esquema. Quando a tabela de átomos fica cheia, a máquina virtual falha, resultando no desligamento completo da aplicação. **Recomendações** Atualizar para a versão 1.18.3.

**Nome do Software Vulnerável e Versões Afetadas** tesla versões 0.8.0 até 1.18.2 **Descrição** A codificação ou escape inadequado de saída permite a injeção de cabeçalho de parte multipart por meio de valores de parâmetro `Content-Disposition` não escapados. A função `part headers for disposition()` interpola parâmetros de disposição sem validar caracteres de retorno de carro (`r`), alimentação de linha (` `) ou aspas duplas. Esses valores são recebidos do chamador via `add field()` (parâmetro `name`), `add file()` (parâmetro `filename`) e `add file content()` (parâmetro `filename` e outras opções de disposição). Um caractere de aspas duplas pode fechar prematuramente um parâmetro citado, enquanto sequências `r ` podem encerrar o cabeçalho `Content-Disposition` para iniciar um novo cabeçalho forjado ou encerrar o bloco de cabeçalhos para prepender bytes ao corpo da parte. Além disso, o caminho do nome de arquivo padrão em `add file()` utiliza `Path.basename()`, que não remove retornos de carro ou alimentações de linha. **Recomendações** Atualize para a versão 1.18.3. Valide os valores dos parâmetros de disposição antes de passá-los para `add field()`, `add file()` ou `add file content()`, rejeitando qualquer valor que contenha `r`, ` ` ou aspas duplas.