PT-2026-57991 · Unknown · Elixir-Mint
Andrea Leopardi
+1
·
Publicado
2026-07-14
·
Atualizado
2026-07-14
·
CVE-2026-58229
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
elixir-mint versões 0.1.0 até 1.9.1
Description
Um servidor HTTP remoto pode causar a negação de serviço ao esgotar a memória no host cliente. As funções
Mint.HTTP1.decode headers/5 e Mint.HTTP1.decode trailer headers/4 acumulam cabeçalhos de resposta analisados e campos de trailer fragmentados em uma lista por requisição request.headers buffer que persiste entre segmentos TCP. Como não há limite para o número de cabeçalhos ou bytes totais, e o analisador :erlang.decode packet(:httph bin, binary, []) é utilizado com limites de tamanho padrão ilimitados, um servidor malicioso pode transmitir linhas de cabeçalho ou trailer indefinidamente sem enviar a linha em branco de terminação. Isso faz com que o estado da conexão cresça sem limites até que o nó BEAM seja encerrado pelo manipulador de falta de memória do sistema operacional.Recommendations
Atualize o elixir-mint para a versão 1.9.2 ou posterior.
Exploit
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Elixir-Mint