CVE-2026-48597

Nome do Software Vulnerável e Versões Afetadas tesla versões 1.3.0 até 1.18.2

Descrição Um problema no Tesla.Adapter.Mint permite a negação de serviço via exaustão da tabela de átomos. A função open conn/2 converte o esquema de URL de requisições de saída em um átomo BEAM usando String.to atom(uri.scheme) sem validação de lista de permissões. Átomos BEAM são entradas permanentes que não são coletadas pelo garbage collector e são limitadas a uma tabela de aproximadamente 1.048.576 entradas. Um invasor capaz de influenciar a URL da requisição — por meio de recursos de encaminhamento de URL no nível da aplicação, como webhooks, proxies ou importadores, ou via um cabeçalho Location quando o Tesla.Middleware.FollowRedirects está ativo — pode criar um novo átomo para cada requisição variando a string do esquema. Quando a tabela de átomos fica cheia, a máquina virtual falha, resultando no desligamento completo da aplicação.

Recomendações Atualizar para a versão 1.18.3.