anonhaven

CVE-2026-21619

LOW CVSS 4.0: 2,0 EPSS 0.06%
Обновлено 6 апреля 2026
Hexpm
Параметр Значение
CVSS 2,0 (LOW)
Уязвимые версии 0.1.0 — 3.27.0
Устранено в версии 3.27.0
Тип уязвимости CWE-502 (Десериализация недоверенных данных), CWE-400 (Неконтролируемое потребление ресурсов)
Поставщик Hexpm
Публичный эксплойт Нет

Неконтролируемое потребление ресурсов, десериализация ненадежных данных. Уязвимость в hexpm hex_core (модули hex_api), hexpm hex (модули mix_hex_api), erlang rebar3 (модули r3_hex_api) допускает внедрение объектов, чрезмерное выделение. Эта уязвимость связана с программными файлами src/hex_api.erl, src/mix_hex_api.erl, apps/rebar/src/vendored/r3_hex_api.erl и программными подпрограммами hex_core:request/4, mix_hex_api:request/4, r3_hex_api:request/4.

Эта проблема затрагивает hex_core: с 0.1.0 до 0.12.1; шестнадцатеричный: от 2.3.0 до 2.3.2; rebar3: с 3.9.1 до 3.27.0.

Показать оригинальное описание (EN)

Uncontrolled Resource Consumption, Deserialization of Untrusted Data vulnerability in hexpm hex_core (hex_api modules), hexpm hex (mix_hex_api modules), erlang rebar3 (r3_hex_api modules) allows Object Injection, Excessive Allocation. This vulnerability is associated with program files src/hex_api.erl, src/mix_hex_api.erl, apps/rebar/src/vendored/r3_hex_api.erl and program routines hex_core:request/4, mix_hex_api:request/4, r3_hex_api:request/4. This issue affects hex_core: from 0.1.0 before 0.12.1; hex: from 2.3.0 before 2.3.2; rebar3: from 3.9.1 before 3.27.0.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Активное
Нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-502 Deserialization of Untrusted Data (Десериализация недоверенных данных)
CWE-400 Uncontrolled Resource Consumption (Неконтролируемое потребление ресурсов)

Уязвимые продукты 5

Конфигурация От (включительно) До (исключительно)
Erlang Rebar3
cpe:2.3:a:erlang:rebar3:*:*:*:*:*:*:*:*
 3.9.1 3.27.0
Hex Hex
cpe:2.3:a:hex:hex:*:*:*:*:*:*:*:*
 2.3.0 2.3.2
Hex Hex_Core
cpe:2.3:a:hex:hex_core:*:*:*:*:*:*:*:*
 0.1.0 0.12.1
Hexpm Hex_Core
cpe:2.3:a:hexpm:hex_core:*:*:*:*:*:*:*:*
 0.1.0 0.12.1
Hexpm Hex
cpe:2.3:a:hexpm:hex:*:*:*:*:*:*:*:*
 2.3.0 2.3.2

Ссылки 6

https://github.com/erlang/rebar3/commit/1d4478f527e373de0b225951e53115450e0d9b9d
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
https://github.com/hexpm/hex/commit/636739f3322514e9303ca335fb630696fcbb3c95
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
https://github.com/hexpm/hex_core/commit/cdf726095bca85ad2549d146df1e831ae93c2b…
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
https://github.com/hexpm/hex_core/security/advisories/GHSA-hx9w-f2w9-9g96
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
https://cna.erlef.org/cves/CVE-2026-21619.html
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
https://osv.dev/vulnerability/EEF-CVE-2026-21619
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
Share Post Share Share Share

Связанные уязвимости

CVE-2026-21622

Sixcolors

9,5