PT-2026-37059 · Phoenix · Phoenix

Peter Ullrich

·

Publicado

2026-05-05

·

Atualizado

2026-05-08

·

CVE-2026-32689

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas phoenix versões 1.7.0 até 1.7.21 phoenix versão 1.8.6
Description Um problema no processamento do corpo NDJSON do transporte long-poll permite a negação de serviço. Na função publish/4 de Elixir.Phoenix.Transports.LongPoll, requisições POST com Content-Type: application/x-ndjson são processadas dividindo o corpo da requisição em caracteres de nova linha usando String.split/2 sem limite de segmentos resultantes. Um invasor pode enviar um corpo composto por bytes de nova linha, criando uma lista massiva de binários vazios que esgota a memória BEAM e os escalonadores, resultando no travamento do nó e na terminação de todas as sessões ativas. O token de sessão necessário para o endpoint é obtido via uma requisição GET não autenticada com um cabeçalho Origin correspondente, tornando o ataque efetivamente não autenticado.
Recommendations Atualizar as versões 1.7.0 até 1.7.21 para a versão 1.7.22. Atualizar a versão 1.8.6 para uma versão mais recente. Desativar o transporte longpoll em todas as declarações de Phoenix.Socket, incluindo o socket /live do LiveView, removendo ou definindo longpoll: false.

Correção

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-32689
GHSA-628H-Q48J-JR6Q

Produtos afetados

Phoenix