PT-2026-55925 · Mint · Mint

Andrea Leopardi

+2

·

Publicado

2026-07-06

·

Atualizado

2026-07-06

·

CVE-2026-56810

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas mint versões 0.5.0 até 1.9.0
Description Um problema de negação de serviço existe no módulo Mint.HTTP1. Ao decodificar um corpo de resposta HTTP fragmentado (chunked), o software acumula fragmentos parciais no data buffer (um iolist ilimitado) usando a função add body to buffer/2 e não emite os dados até que o comprimento total do fragmento declarado seja recebido. Como o tamanho do fragmento é analisado a partir do servidor sem um limite superior, um servidor malicioso pode especificar um tamanho de fragmento enorme e enviar bytes lentamente. Isso força o cliente a armazenar dados indefinidamente, podendo levar a uma condição de falta de memória (out-of-memory). Isso pode ser desencadeado quando um cliente segue redirecionamentos, busca URLs fornecidas pelo usuário ou processa webhooks. O problema está associado à função decode body/5 no arquivo lib/mint/http1.ex.
Recommendations Atualize o mint para a versão 1.9.1 ou posterior.

Exploit

Correção

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-56810
GHSA-C59H-FQ4P-R36R

Produtos afetados

Mint