CVE-2026-53423
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność w membraneframework membrane_mp4_plugin pozwala na nieautoryzowane wywołanie ataku typu denial-of-service poprzez wyczerpanie tabeli atomów BEAM. Parser nagłówka MP4 nie weryfikuje nazw boxów, co prowadzi do permanentnej alokacji atomów.
Ocena ryzyka
Organizacja może doświadczyć awarii aplikacji działających na węźle BEAM, co prowadzi do przerw w dostępności usług.
Rekomendacja
Zaleca się aktualizację do wersji membrane_mp4_plugin 0.36.7 lub nowszej, aby zniwelować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
Allocation of Resources Without Limits or Throttling vulnerability in membraneframework membrane_mp4_plugin allows unauthenticated denial-of-service via BEAM atom table exhaustion. The MP4 box header parser converts each 4-byte box name to an atom using String.to_atom/1 without validation. 'Elixir.Membrane.MP4.Container.Header':parse_box_name/1 in lib/membrane_mp4/container/header.ex interns every box name encountered while 'Elixir.Membrane.MP4.Container.Header':parse/1 walks the input. BEAM atoms are never garbage-collected, so each unique attacker-controlled 4-byte name is a permanent allocation. A crafted MP4 of approximately 8 MB containing roughly 1.1 million boxes with distinct non-standard names exhausts the atom table (default ceiling around 1,048,576 atoms), aborting the entire BEAM node and taking down all applications running on it. This issue affects membrane_mp4_plugin from 0.3.0 before 0.36.7.

