CVE-2026-58229 in mint정보

요약

\~에 의해 VulDB • 2026. 07. 14.

elixir-mint의 mint에서 제한 없이 자원을 할당하는 취약점으로, 원격 HTTP 서버가 클라이언트 호스트의 메모리를 고갈시켜 서비스 거부(Denial of Service)를 유발할 수 있습니다.

lib/mint/http1.ex에 있는 Mint.HTTP1.decode_headers/5 및 Mint.HTTP1.decode_trailer_headers/4 함수는 요청마다 생성된 리스트(request.headers_buffer)로 모든 파싱된 응답 헤더와 청킹 트레일러 필드를 축적하며, 이는 들어오는 TCP 세그먼트 전반에 걸쳐 유지됩니다. 이 리스트는 종료용 빈 줄이 수신될 때까지만 초기화됩니다. 해당 섹션에는 헤더 수나 총 바이트수에 대한 상한선이 없으며, 하위 :erlang.decode_packet(:httph_bin, binary, []) 파서는 빈 옵션 목록으로 호출되므로 라인별 및 패킷별 크기 제한도 기본적으로 무제한입니다.

악의적인 HTTP 서버(직접 접근 가능하거나 공격자가 제어하는 리디렉션, SSRF 또는 중간자 공격을 통해 도달 가능한 경우)는 종료용 빈 줄을 전혀 출력하지 않고 헤더 라인 전체를 (또는 청킹 본문 이후에는 트레일러 라인 전체를) 무한히 스트리밍할 수 있습니다. 연결 상태가 한도 없이 증가하여 BEAM 노드가 운영 체제의 아웃오브메모리(OOM) 핸들러에 의해 종료되고, Mint를 HTTP 클라이언트로 사용하는 전체 애플리케이션이 다운됩니다.

본 이슈는 mint 0.1.0부터 1.9.2 이전 버전까지 영향을 미칩니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

EEF

예약하다

2026. 06. 29.

모더레이션

수락

항목

VDB-378274

EPSS

0.00305

활동

낮음

출처

Want to know what is going to be exploited?

We predict KEV entries!