PT-2026-39146 · Absinthe · Absinthe
Curtis Schiewek
+1
·
Publicado
2026-05-08
·
Atualizado
2026-05-14
·
CVE-2026-42793
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
absinthe versões 1.5.0 até 1.10.1
Descrição
Uma negação de serviço não autenticada pode ocorrer via exaustão da tabela de átomos ao analisar SDL GraphQL controlado por um invasor. Múltiplas implementações de
Blueprint.Draft.convert/2 nos módulos de linguagem SDL chamam String.to atom/1 em nomes controlados por invasores, como nomes de diretivas, campos, tipos e argumentos. Como os átomos não são coletados pelo garbage collector e a tabela de átomos BEAM possui um limite fixo, o envio de documentos SDL com inúmeros nomes exclusivos pode esgotar a tabela, fazendo com que a VM Erlang aborte com um system limit e derrube todo o nó. Aplicações que passam SDL GraphQL controlado por invasores através do analisador, como endpoints de upload de esquema ou gateways de federação que ingerem SDL remoto, estão expostas.Recomendações
Atualize para a versão 1.10.2.
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Absinthe