CVE-2026-59249 in mintالمعلومات

الملخص

بحسب VulDB • 16/07/2026

ثغرة عدم التفسير المتسق لطلبات HTTP (تدخين استجابة HTTP) في مكتبة elixir-mint تسمح لخادم HTTP/1 خبيث بإلغاء التزامن بين وسيط صارم وعميل Mint على نفس الاتصال المُجمَّع، مما يمكّن من تسميم طابور الاستجابات للطلبات اللاحقة التي تشترك في الاتصال.

تقوم الدالة `Mint.HTTP1.decode_body/5` الموجودة في الملف `lib/mint/http1.ex` بتحليل سطر حجم الشريحة (chunk-size) لاستجابة ذات ترميز نقل مشطَّر (`Transfer-Encoding: chunked`) باستخدام `Integer.parse(data, 16).` يحدد RFC 7230 أن صيغة حجم الشريحة هي `1*HEXDIG` ويمنع أي بادئة إشارة، لكن دالة `Integer.parse/2` تقبل وجود علامة زائد (+) أو ناقص (-) اختيارية في البداية. يتم قبول سطر بحجم شيرة مثل `+5` كشريحة مكونة من خمسة بايتات؛ وتُقبل الأسطر `+0` و `-0` على أنها الشفرة النهائية ذات الطول صفر، مما ينهي جسم الرسالة مبكراً.

يرفض الوسيط المتوافق تماماً مع RFC هذه الأشكال في مسار الاستجابة، لذا يختلف الوسيط وعميل Mint حول مكان انتهاء استجابة واحدة وبداية الأخرى. وعلى اتصال keep-alive مُجمَّع، يمكن لمصدر يتأثر بالهجوم حقن بايتات ينسبها العميل إلى الاستجابة الشرعية التالية على نفس الاتصال، مما يؤدي إلى تسميم طابور الاستجابات وإفساد الاستجابات المعادة للطلبات غير ذات الصلة التي لا تزال قيد التنفيذ.

تؤثر هذه المشكلة في مكتبة mint: من الإصدار 0.1.0 قبل 1.9.3.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

EEF

حجز

04/07/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379512

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!