CVE-2026-42793 in absinthe
Sumário
de VulDB • 20/05/2026
Vulnerabilidade de Alocação de Recursos sem Limites ou Controle de Taxa (Throttling) no absinthe-graphql absinthe permite negação de serviço não autenticada através da exaustão da tabela de átomos ao analisar SDL GraphQL controlado pelo atacante.
Múltiplas implementações de `Blueprint.Draft.convert/2` nos módulos de linguagem SDL do Absinthe chamam `String.to_atom/1` em nomes controlados pelo atacante provenientes de documentos SDL GraphQL analisados, incluindo nomes de diretivas, nomes de campos, nomes de tipos e nomes de argumentos. Como os átomos nunca são coletados pelo garbage collector e a tabela de átomos do BEAM possui um limite fixo (padrão de 1.048.576), cada nome único consome permanentemente uma posição. Um atacante pode exaurir a tabela de átomos enviando documentos SDL contendo nomes únicos suficientes, fazendo com que a máquina virtual Erlang aborte com `system_limit` e derrube todo o nó.
Qualquer aplicação que passe SDL GraphQL controlado pelo atacante através do analisador do Absinthe está exposta — por exemplo, um endpoint de upload de esquema, um gateway de federação que ingere SDL remoto ou qualquer ferramenta de desenvolvedor que execute o analisador sobre documentos fornecidos pelo usuário.
Este problema afeta o absinthe: da versão 1.5.0 até antes da 1.10.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.