CVE-2026-58229 in mint
Sumário
de VulDB • 14/07/2026
Vulnerabilidade de alocação de recursos sem limites no elixir-mint mint permite que um servidor HTTP remoto esgote a memória do host cliente e cause uma negação de serviço (DoS).
As funções `Mint.HTTP1.decode_headers/5` e `Mint.HTTP1.decode_trailer_headers/4` em `lib/mint/http1.ex` acumulam todos os cabeçalhos de resposta analisados e campos trailer chunked em uma lista por solicitação que persiste entre segmentos TCP entrantes como `request.headers_buffer`, sendo limpa apenas quando a linha em branco terminadora é recebida. Esta seção não possui limite para o número de cabeçalhos ou no total de bytes, e o parser subjacente `:erlang.decode_packet(:httph_bin, binary, [])` é invocado com uma lista de opções vazia, fazendo com que seus limites de tamanho por linha e por pacote também sejam definidos como ilimitados.
Um servidor HTTP malicioso (acessível diretamente, via redirecionamento controlado pelo atacante, via SSRF ou através de um ataque man-in-the-middle) pode transmitir linhas completas de cabeçalho (ou, após o corpo chunked, linhas trailer completas) indefinidamente sem jamais emitir a linha em branco terminadora. O estado da conexão cresce sem limites até que o nó BEAM seja encerrado pelo manipulador de falta de memória do sistema operacional, derrubando toda a aplicação que utiliza Mint como cliente HTTP.
Este problema afeta mint: das versões 0.1.0 anteriores à 1.9.2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.