CVE-2026-32686 in decimal
Tóm tắt
Bởi VulDB • 04/06/2026
Lỗ hổng Tiêu thụ Tài nguyên Không được Kiểm soát trong thư viện ericmj decimal cho phép tấn công Từ chối Dịch vụ (DoS) từ xa mà không cần xác thực.
Thư viện decimal không giới hạn số mũ trên đầu vào đã phân tích cú pháp. Việc lưu trữ một giá trị thập phân với số mũ rất lớn (ví dụ: `Decimal.new("1e1000000000")`) được chấp nhận mà không gây lỗi. Các lệnh gọi tiếp theo đến các hàm số học (`Decimal.add/2`, `Decimal.sub/2`, `Decimal.div/2`), `Decimal.to_string/2` với định dạng `:normal` hoặc `:xsd`, `Decimal.to_integer/1`, `Decimal.round/3`, hoặc `Decimal.compare/3` với ngưỡng (threshold) sẽ phân bổ bộ nhớ tỷ lệ thuận với giá trị số mũ, điều này có thể làm cạn kiệt bộ nhớ khả dụng và khiến VM BEAM bị sập.
Bất kỳ ứng dụng nào chấp nhận đầu vào thập phân do người dùng cung cấp và sau đó thực hiện các phép toán số học, làm tròn, chuyển đổi sang số nguyên hoặc định dạng chuỗi trên nó đều dễ bị tổn thương. Chỉ một yêu cầu độc hại duy nhất cũng đủ để gây ra lỗi sập hết bộ nhớ (out-of-memory).
Vấn đề này ảnh hưởng đến thư viện decimal: từ phiên bản 0.1.0 trước 3.0.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.