PT-2026-57994 · Hexpm · Elixir-Mint

Andrea Leopardi

+1

·

Publicado

2026-07-14

·

Atualizado

2026-07-14

·

CVE-2026-59246

CVSS v4.0

6.3

Média

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas elixir-mint versões 0.1.0 até 1.9.1
Description Um servidor HTTP/2 remoto pode causar exaustão de memória e a negação de serviço no host cliente. A função handle continuation/3 em lib/mint/http2.ex acumula fragmentos de blocos de cabeçalho de quadros CONTINUATION do HTTP/2 em uma estrutura de aninhamento que só é liberada ao receber um quadro com a flag END HEADERS. Embora exista uma verificação de limite de tamanho via assert header block within max size/2, o protocolo permite que quadros CONTINUATION tenham cargas úteis de comprimento zero. Um invasor pode enviar uma cadeia ilimitada desses quadros de comprimento zero, o que ignora o limite de tamanho e aumenta continuamente o consumo de memória ao adicionar uma célula cons por quadro, levando eventualmente à terminação por falta de memória do nó BEAM.
Recommendations Atualize o elixir-mint para a versão 1.9.2 ou posterior.

Exploit

Correção

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59246

Produtos afetados

Elixir-Mint