CVE-2026-53423

Nome do Software Vulnerável e Versões Afetadas membrane mp4 plugin versões 0.3.0 até 0.36.6

Description Uma negação de serviço não autenticada pode ocorrer via exaustão da tabela de átomos BEAM. O analisador de cabeçalho de caixa MP4 converte nomes de caixa de 4 bytes em átomos usando a função String.to atom/1 sem validação. Especificamente, a função parse box name/1 em lib/membrane mp4/container/header.ex interna cada nome de caixa encontrado enquanto a função parse/1 processa a entrada. Como os átomos BEAM não são coletados pelo garbage collector, cada nome único controlado por um invasor resulta em uma alocação permanente. Um arquivo MP4 manipulado de aproximadamente 8 MB contendo cerca de 1,1 milhão de caixas com nomes não padronizados distintos pode exaurir a tabela de átomos, que possui um limite padrão de cerca de 1.048.576 átomos, fazendo com que todo o nó BEAM e todos os aplicativos em execução sejam abortados.

Recommendations Atualize o membrane mp4 plugin para a versão 0.36.7.