CVE-2026-53430

Nome do Software Vulnerável e Versões Afetadas elixir-grpc versões 0.4.0 até 0.9.x

Descrição O manuseio inadequado de dados altamente compactados nos módulos GRPC.Compressor.Gzip e GRPC.Message permite a negação de serviço por meio de uma bomba de descompressão gzip. A função decompress/1 em Elixir.GRPC.Compressor.Gzip chama :zlib.gunzip/1 em bytes controlados por um invasor sem limite de tamanho descompactado, verificação de proporção ou decodificação incremental. Isso ocorre automaticamente quando um frame gRPC recebido contém o cabeçalho grpc-encoding: gzip. Como o :zlib.gunzip/1 aloca todo o resultado descompactado como um único binário, uma carga útil pequena e altamente compressível pode expandir-se para vários gigabytes, esgotando o heap do nó BEAM e causando a interrupção por falta de memória (out-of-memory kill). O limite max receive message length é ineficaz, pois é aplicado apenas após a descompressão. Isso pode ser explorado por um peer remoto não autenticado utilizando a função from data/2 em Elixir.GRPC.Message.

Recomendações Atualize para a versão 1.0.0 ou posterior.