EEF-CVE-2026-58229 漏洞概述 漏洞编号: CVE-2026-58229 发布日期: 2026-07-14 修改日期: 2026-07-14 严重程度: 9.2 (High) CVSS评分: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N 漏洞描述: 在elixir-mint中,资源分配无限制漏洞允许远程HTTP服务器耗尽客户端主机的内存,导致服务拒绝。 影响范围 受影响软件: Mint 受影响版本: 从0.1.0到1.9.2 修复方案 修复建议: 升级到不受影响的版本。 详细信息 漏洞类型: CWE-787, CWE-400 漏洞来源: CNA链接 JSON数据: JSON链接 漏洞详情 漏洞描述: Mint.HTTP.decode_headers/5和Mint.HTTP.decode_trailer_headers/4函数在lib/mint/http.ex中累积每个解析的响应头和分块尾字段到一个per-request列表中,该列表在接收到终止空白行之前持续存在。该部分没有对头数或总字节的限制,且底层:erlang.decode_packet/3(http_bin, binary, [])解析器被调用时没有选项,因此每行和每包大小限制也默认为无限制。 攻击方式: 恶意HTTP服务器(可通过攻击者控制的重定向、SSRF或中间人攻击直接访问)可以流式传输完整头行(或分块后完整尾行),无限期地不发出终止空白行。连接状态增长直到BEAM节点被操作系统的内存不足处理程序杀死,从而关闭使用Mint作为HTTP客户端的整个应用程序。 数据库特定信息