CVE-2026-48593

Nome do Software Vulnerável e Versões Afetadas oban web versões 2.12.0 até 2.12.4

Descrição O Consumo Não Controlado de Recursos no módulo Elixir.Oban.Web.CronExpr permite a exaustão de memória através da expansão ilimitada de intervalos de cron. Um invasor com permissões para agendar tarefas cron pode enviar uma expressão cron maliciosa. Quando um usuário com acesso ao painel de controle visualiza a lista de tarefas cron, a função describe/1 é chamada para renderizar a expressão. A função parse range/1 analisa os limites do intervalo usando Integer.parse/1 sem verificação de limites, e os auxiliares expand dom parts/1 e expand dow parts/1 materializam o intervalo ansiosamente via Enum.to list/1. Esse processo pode levar à alocação de aproximadamente 2,4 GB de memória, resultando no travamento ou falha do nó BEAM (a Máquina Virtual Erlang).

Recomendações Atualize o oban web para a versão 2.12.5.