PT-2026-55926 · Hexpm · Hpax

Andrea Leopardi

+2

·

Publicado

2026-07-06

·

Atualizado

2026-07-06

·

CVE-2026-58226

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas hpax versões 0.1.1 até 1.0.3
Descrição Um problema de complexidade algorítmica ineficiente ocorre durante a decodificação de inteiros HPACK de comprimento variável. A função Elixir.HPAX.Types:decode remaining integer/3, acessada através do ponto de entrada Elixir.HPAX:decode/2, não impõe um limite superior ao valor decodificado ou ao número de octetos de continuação. Como os inteiros BEAM utilizam precisão arbitrária, uma sequência de octetos de continuação cria um bignum de O(N) bits, resultando em um custo de decodificação superlinear de aproximadamente O(N^2). Um invasor não autenticado pode explorar isso enviando um pequeno bloco de cabeçalho HTTP/2 que consome CPU e memória transitória excessivas, levando a uma amplificação de negação de serviço.
Recomendações Atualize o hpax para a versão 1.0.4 ou posterior.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58226
GHSA-JJ2P-32J7-WHJ2

Produtos afetados

Hpax