CVE-2026-48594

Nome do Software Vulnerável e Versões Afetadas tesla versões 0.6.0 até 1.18.2

Descrição O manuseio inadequado de dados altamente compactados permite a negação de serviço por meio de uma bomba de descompressão em corpos de resposta HTTP. Quando Tesla.Middleware.DecompressResponse ou Tesla.Middleware.Compression é incluído em um pipeline de middleware, os corpos de resposta são descompactados ansiosamente sem limite de tamanho. Especificamente, a função decompress body/2 passa todo o corpo da resposta para :zlib.gunzip/1 ou :zlib.unzip/1 sem limitar o tamanho da saída. Além disso, a função compression algorithms/1 divide o cabeçalho content-encoding por vírgulas, e a decompress body/2 recursa para cada token. Um servidor que forneça múltiplas camadas de gzip no cabeçalho content-encoding pode causar amplificação exponencial, onde um payload pequeno infla para gigabytes de heap BEAM, esgotando a memória e travando ou congelando o processo.

Recomendações Atualize para a versão 1.18.3. Como medida paliativa temporária, evite incluir Tesla.Middleware.DecompressResponse ou Tesla.Middleware.Compression no pipeline de middleware do Tesla.