CVE-2026-48862

Nome do Software Vulnerável e Versões Afetadas mint versões 0.2.0 até 1.8.x

Description Existe um problema onde servidores HTTP/2 controlados por atacantes podem esgotar a memória de um cliente através de inundação de PUSH PROMISE. No arquivo lib/mint/http2.ex, a função decode push promise headers and add response/5 insere uma entrada :reserved remote em conn.streams para cada ID de stream prometido. A função assert valid promised stream id/2 apenas verifica se o ID prometido é par e se já não está presente, falhando em consultar client settings.max concurrent streams no momento da promessa. Como o limite de concorrência é verificado apenas quando os HEADERS de resposta chegam, um servidor que envia quadros PUSH PROMISE, mas retém os HEADERS correspondentes, pode fixar entradas em conn.streams sem um limite superior, levando ao esgotamento da memória. Isso é possível porque o push de servidor HTTP/2 é habilitado por padrão via client settings.enable push.

Recommendations Atualize para a versão 1.9.0 ou posterior. Como alternativa temporária, desabilite o push de servidor HTTP/2 em conexões com servidores não confiáveis passando client settings: [enable push: false] para a função connect/4.