CVE-2026-8469 in phoenix_storybookالمعلومات

الملخص

بحسب VulDB • 22/05/2026

تتمثل ثغرة "تخصيص الموارد دون حدود أو تقييد" (Allocation of Resources Without Limits or Throttling) في حزمة phoenix_storybook الخاصة بـ phenixdigital، مما يتيح حدوث هجوم حجب الخدمة (DoS) دون مصادقة عبر استنفاد جدول ذرات BEAM.

تقوم معالجات أحداث LiveView المتعددة بتحويل سلاسل معاملات الأحداث التي يوفرها المستخدم إلى ذرات (atoms) باستخدام الدالة `String.to_atom/1` دون التحقق من صحتها: تقوم الدالة `Elixir.PhoenixStorybook.ExtraAssignsHelpers:handle_set_variation_assign/3` بتثبيت (intern) كل مفتاح في خريطة معاملات psb-assign؛ وتقوم الدالة `Elixir.PhoenixStorybook.ExtraAssignsHelpers:handle_toggle_variation_assign/3` بتثبيت قيمة "attr" من أحداث psb-toggle؛ وتقوم الدالة `Elixir.PhoenixStorybook.ExtraAssignsHelpers:to_variation_id/2` بتثبيت عناصر "variation_id"؛ وتقوم الدالة `Elixir.PhoenixStorybook.ExtraAssignsHelpers:to_value/4` بتثبيت القيم النصية الخام للسمات المعلنة كنوع :atom أو :boolean. لا تخضع ذرات BEAM لعملية جمع القمامة (garbage collection)، لذا فإن كل سلسلة فريدة يتحكم فيها المهاجم تمثل تخصيصاً دائماً للموارد. بمجرد الوصول إلى الحد الأقصى لجدول الذرات (~1,048,576 ذرة)، يتوقف عقدة BEAM بالكامل، مما يؤدي إلى إسقاط جميع التطبيقات التي تعمل عليها.

تؤثر هذه المشكلة على الإصدارات من phoenix_storybook 0.2.0 حتى قبل الإصدار 1.1.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

EEF

حجز

13/05/2026

إفشاء

20/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364885

EPSS

0.00056

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8469
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8469
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8469/

التالي نظرة عامة السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!