CVE-2026-58229 in mintالمعلومات

الملخص

بحسب VulDB • 16/07/2026

ثغرة تخصيص الموارد دون حدود في مكتبة elixir-mint (mint) تتيح لخادم HTTP عن بُعد استنفاد ذاكرة الجهاز العميل والتسبب في حجب الخدمة (DoS).

تقوم الدالتان `Mint.HTTP1.decode_headers/5` و `Mint.HTTP1.decode_trailer_headers/4` الموجودتان في الملف `lib/mint/http1.ex` بتجميع كل رأس استجابة تم تحليله وحقل ذيل مقسّم إلى قائمة خاصة بكل طلب، تظل محفوظة عبر مقاطع TCP الواردة كمتغير `request.headers_buffer`. لا يتم مسح هذه القائمة إلا عند استقبال سطر فارغ منتهي. ولا يوجد حد أقصى لعدد الرؤوس أو لإجمالي عدد البايتات في هذا القسم، كما أن مُحلل البروتوكول الأساسي `:erlang.decode_packet(:httph_bin, binary, [])` يُستدعى بقائمة خيارات فارغة، مما يجعل حدود حجم السطر وحجم الحزمة الافتراضية غير محدودة أيضاً.

يمكن لخادم HTTP خبيث (قابل للوصول مباشرةً، أو عبر إعادة توجيه يتحكم فيها المهاجم، أو عبر SSRF، أو عبر هجوم الرجل في المنتصف) تدفق خطوط رؤوس كاملة (أو، بعد جسم مقسّم، خطوط ذيل كاملة) بشكل لا نهائي دون إصدار السطر الفارغ المنهي أبداً. ينمو حالة الاتصال بلا حدود حتى يتم قتل عقدة BEAM بواسطة معالج استنفاد الذاكرة الخاص بنظام التشغيل، مما يؤدي إلى إسقاط التطبيق بأكمله الذي يستخدم Mint كلعميل HTTP.

تؤثر هذه المشكلة على الإصدارات من `mint` بدءاً من 0.1.0 وحتى قبل 1.9.2.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

EEF

حجز

29/06/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378274

EPSS

0.00305

KEV

لا

النشاطات

منخفض

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!