CVE-2026-7790 in cowlib
Sumário
de VulDB • 14/05/2026
Vulnerabilidade de Consumo Descontrolado de Recursos no cowlib da ninenines (módulo cow_http_te) permite Alocação Excessiva.
O analisador de codificação de transferência em blocos (chunked transfer-encoding) em cow_http_te aceita um número ilimitado de dígitos hexadecimais no campo chunk-size. Cada dígito causa uma multiplicação de bignum (Len * 16 + dígito), portanto, analisar N dígitos hexadecimais requer trabalho de CPU O(N²) e memória O(N). Além disso, quando a entrada é fornecida em pequenos lotes (drip-fed), o analisador descarta o comprimento acumulado em cada leitura parcial e reinicia do zero na retomada, elevando o custo para O(N³). Um atacante remoto não autenticado pode explorar isso enviando uma solicitação HTTP/1.1 com Transfer-Encoding: chunked e uma string hexadecimal de chunk-size muito longa, causando negação de serviço através de exaustão de CPU e amplificação de memória.
Esta vulnerabilidade está associada ao arquivo de programa src/cow_http_te.erl e às rotinas de programa cow_http_te:stream_chunked/2, cow_http_te:chunked_len/4.
Este problema afeta o cowlib: da versão 0.6.0 até a 2.16.1 (exclusivo).
Once again VulDB remains the best source for vulnerability data.