PT-2026-57994 · Hexpm · Elixir-Mint
Andrea Leopardi
+1
·
Publicado
2026-07-14
·
Atualizado
2026-07-14
·
CVE-2026-59246
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
elixir-mint versões 0.1.0 até 1.9.1
Description
Um servidor HTTP/2 remoto pode causar exaustão de memória e a negação de serviço no host cliente. A função
handle continuation/3 em lib/mint/http2.ex acumula fragmentos de blocos de cabeçalho de quadros CONTINUATION do HTTP/2 em uma estrutura de aninhamento que só é liberada ao receber um quadro com a flag END HEADERS. Embora exista uma verificação de limite de tamanho via assert header block within max size/2, o protocolo permite que quadros CONTINUATION tenham cargas úteis de comprimento zero. Um invasor pode enviar uma cadeia ilimitada desses quadros de comprimento zero, o que ignora o limite de tamanho e aumenta continuamente o consumo de memória ao adicionar uma célula cons por quadro, levando eventualmente à terminação por falta de memória do nó BEAM.Recommendations
Atualize o elixir-mint para a versão 1.9.2 ou posterior.
Exploit
Correção
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Elixir-Mint