CVE-2026-48597
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
Podatność w elixir-tesla (CVE-2026-48597) pozwala na odmowę usługi poprzez wyczerpanie tabeli atomów w Tesla.Adapter.Mint. Problem wynika z braku walidacji listy dozwolonych schematów URL, co umożliwia atakującemu tworzenie nowych atomów przy każdym żądaniu.
Ocena ryzyka
W przypadku wykorzystania tej podatności, atakujący może spowodować awarię aplikacji poprzez zapełnienie tabeli atomów, co prowadzi do jej całkowitego zatrzymania. To może mieć poważne konsekwencje dla dostępności usług w organizacji.
Rekomendacja
Zaleca się aktualizację elixir-tesla do wersji 1.18.3 lub nowszej oraz wprowadzenie walidacji schematów URL, aby zapobiec tworzeniu niekontrolowanych atomów.
Oryginalny opis (angielski, źródło NVD)
Allocation of Resources Without Limits or Throttling vulnerability in elixir-tesla tesla allows denial of service via atom table exhaustion in Tesla.Adapter.Mint. Tesla.Adapter.Mint.open_conn/2 converts the URL scheme of every outgoing request to a BEAM atom via String.to_atom(uri.scheme) with no allow-list validation. BEAM atoms are never garbage-collected and the atom table is bounded (approximately 1,048,576 entries by default). An attacker who can influence the URL of a Tesla request — either via an application-level URL-forwarding feature (webhook, proxy, importer) or via a Location header returned by a server when Tesla.Middleware.FollowRedirects is in the pipeline — can mint one fresh permanent atom per request by varying the scheme string. After enough requests the atom table fills and the VM crashes, taking down the entire application. This issue affects tesla: from 1.3.0 before 1.18.3.

