CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-48597

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.30%

22th percentile - higher than 22% of all known CVEs

Summary

Podatność w elixir-tesla (CVE-2026-48597) pozwala na odmowę usługi poprzez wyczerpanie tabeli atomów w Tesla.Adapter.Mint. Problem wynika z braku walidacji listy dozwolonych schematów URL, co umożliwia atakującemu tworzenie nowych atomów przy każdym żądaniu.

Risk Assessment

W przypadku wykorzystania tej podatności, atakujący może spowodować awarię aplikacji poprzez zapełnienie tabeli atomów, co prowadzi do jej całkowitego zatrzymania. To może mieć poważne konsekwencje dla dostępności usług w organizacji.

Recommendation

Zaleca się aktualizację elixir-tesla do wersji 1.18.3 lub nowszej oraz wprowadzenie walidacji schematów URL, aby zapobiec tworzeniu niekontrolowanych atomów.

Original NVD description (English source)

Allocation of Resources Without Limits or Throttling vulnerability in elixir-tesla tesla allows denial of service via atom table exhaustion in Tesla.Adapter.Mint. Tesla.Adapter.Mint.open_conn/2 converts the URL scheme of every outgoing request to a BEAM atom via String.to_atom(uri.scheme) with no allow-list validation. BEAM atoms are never garbage-collected and the atom table is bounded (approximately 1,048,576 entries by default). An attacker who can influence the URL of a Tesla request — either via an application-level URL-forwarding feature (webhook, proxy, importer) or via a Location header returned by a server when Tesla.Middleware.FollowRedirects is in the pipeline — can mint one fresh permanent atom per request by varying the scheme string. After enough requests the atom table fills and the VM crashes, taking down the entire application. This issue affects tesla: from 1.3.0 before 1.18.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS