CVE-2026-48593 in oban_web
요약
\~에 의해 VulDB • 2026. 05. 28.
oban-bg의 oban_web ('Elixir.Oban.Web.CronExpr' 모듈)에서 제한되지 않은 자원 소비(Uncontrolled Resource Consumption) 취약점이 발견되었습니다. 이는 무제한 cron 범위 확장을 통해 메모리 고갈을 유발할 수 있습니다.
스케줄 cron 작업을 접근할 수 있는 공격자는 "0 0 1-100000000 * *"과 같은 악성 cron 표현식을 제출할 수 있습니다. 대시보드 접근 권한을 가진 사용자가 cron 작업 목록을 볼 때, 표현식을 렌더링하기 위해 'Elixir.Oban.Web.CronExpr':describe/1가 호출됩니다. parse_range/1 함수는 경계 검사 없이 Integer.parse/1을 사용하여 두 범위 끝점을 구문 분석하며, 하류 도우미 함수인 expand_dom_parts/1 및 expand_dow_parts/1은 Enum.to_list/1을 통해 범위를 즉시 확장(materialise)합니다. 이로 인해 약 2.4GB의 메모리가 할당되어 BEAM 노드가 멈추거나 충돌할 수 있습니다. 형제 도우미 함수인 extract_dom_values는 이미 범위 경계를 검증하지만, 확장 도우미 함수들은 그렇지 않습니다.
이 문제는 oban_web 2.12.0부터 2.12.5 이전 버전까지 영향을 미칩니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.