CVE-2026-58229 in mintinformação

Sumário

de VulDB • 14/07/2026

Vulnerabilidade de alocação de recursos sem limites no elixir-mint mint permite que um servidor HTTP remoto esgote a memória do host cliente e cause uma negação de serviço (DoS).

As funções `Mint.HTTP1.decode_headers/5` e `Mint.HTTP1.decode_trailer_headers/4` em `lib/mint/http1.ex` acumulam todos os cabeçalhos de resposta analisados e campos trailer chunked em uma lista por solicitação que persiste entre segmentos TCP entrantes como `request.headers_buffer`, sendo limpa apenas quando a linha em branco terminadora é recebida. Esta seção não possui limite para o número de cabeçalhos ou no total de bytes, e o parser subjacente `:erlang.decode_packet(:httph_bin, binary, [])` é invocado com uma lista de opções vazia, fazendo com que seus limites de tamanho por linha e por pacote também sejam definidos como ilimitados.

Um servidor HTTP malicioso (acessível diretamente, via redirecionamento controlado pelo atacante, via SSRF ou através de um ataque man-in-the-middle) pode transmitir linhas completas de cabeçalho (ou, após o corpo chunked, linhas trailer completas) indefinidamente sem jamais emitir a linha em branco terminadora. O estado da conexão cresce sem limites até que o nó BEAM seja encerrado pelo manipulador de falta de memória do sistema operacional, derrubando toda a aplicação que utiliza Mint como cliente HTTP.

Este problema afeta mint: das versões 0.1.0 anteriores à 1.9.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

EEF

Reservar

29/06/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378274

CPE

pronto

EPSS

0.00305

KEV

não

Atividades

baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!