CVE-2026-58229 in mintinformación

Resumen

por VulDB • 2026-07-14

Vulnerabilidad de asignación de recursos sin límites en elixir-mint mint que permite a un servidor HTTP remoto agotar la memoria del host cliente y provocar una denegación de servicio (DoS).

Las funciones `Mint.HTTP1.decode_headers/5` y `Mint.HTTP1.decode_trailer_headers/4` en `lib/mint/http1.ex` acumulan cada cabecera de respuesta analizada y el campo trailer fragmentado en una lista por solicitud que persiste a través de los segmentos TCP entrantes como `request.headers_buffer`, limpiándola únicamente cuando se recibe la línea final vacía. Esta sección no tiene un límite máximo sobre el número de cabeceras ni sobre el total de bytes, y el analizador subyacente `:erlang.decode_packet(:httph_bin, binary, [])` se invoca con una lista de opciones vacía, por lo que sus límites de tamaño por línea y por paquete también tienen valores ilimitados por defecto.

Un servidor HTTP malicioso (alcanzable directamente, mediante una redirección controlada por el atacante, a través de SSRF o mediante un ataque man-in-the-middle) puede transmitir líneas completas de cabecera (o, después de un cuerpo fragmentado, líneas completas trailer) indefinidamente sin emitir nunca la línea final vacía. El estado de la conexión crece sin límite hasta que el nodo BEAM es terminado por el gestor de falta de memoria del sistema operativo, provocando la caída de toda la aplicación que utiliza Mint como cliente HTTP.

Este problema afecta a mint: desde la versión 0.1.0 hasta antes de la 1.9.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

EEF

Reservar

2026-06-29

Divulgación

2026-07-14

Moderación

aceptado

Artículo

VDB-378274

CPE

listo

EPSS

0.00305

KEV

no

Actividades

bajo

Fuentes

Do you know our Splunk app?

Download it now for free!