CVE-2026-32686

Nome do Software Vulnerável e Versões Afetadas ericmj decimal versões 0.1.0 até 2.x

Descrição O Consumo Não Controlado de Recursos permite a Negação de Serviço remota não autenticada. A biblioteca não limita o expoente na entrada analisada, o que significa que um decimal com um expoente excessivamente grande pode ser armazenado sem erro. Chamadas subsequentes para funções como Decimal.add/2, Decimal.sub/2, Decimal.div/2, Decimal.to integer/1, Decimal.round/3, Decimal.compare/3 com um limite, ou Decimal.to string/2 usando os formatos :normal ou :xsd, alocam memória proporcional ao valor do expoente. Isso pode esgotar a memória disponível e travar a BEAM VM (a Máquina Virtual Erlang). Qualquer aplicação que aceite entrada decimal fornecida pelo usuário para aritmética, arredondamento, conversão de inteiros ou formatação de string está exposta, pois uma única requisição maliciosa pode causar a queda do sistema por falta de memória.

Recomendações Atualize para a versão 3.0.0 ou posterior.