漏洞概述 漏洞编号: CVE-2026-48597 漏洞名称: Atom table exhaustion via untrusted URL scheme in Tesla.Adapter.Mint 漏洞类型: CWE-770 — CWE-770 Allocation of Resources Without Limits or Throttling CVSS 4.0 Score: 8.2 (HIGH) 描述: 在 中,由于对 URL 方案的原子表耗尽,导致拒绝服务攻击。 将每个出站请求的 URL 方案转换为 BEAM 原子,且没有白名单验证。BEAM 原子不会被垃圾回收,原子表有上限(约 1,048,576 个条目)。攻击者可以通过影响 Tesla 请求的 URL(通过应用级 URL 转发功能或 Location 头)来耗尽原子表,导致虚拟机崩溃,进而使整个应用程序瘫痪。 影响范围 受影响模块: 源文件: 例程: 状态: 受影响 类型: server 版本: 1.3.0 修复版本: < 1.3.3 修复方案 修复版本: 1.3.3 修复代码: 配置要求 应用程序必须使用 并暴露一个转发攻击者控制的 URL 到 Tesla 的功能,或者在中间件管道中包含 。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commit 贡献者 发现者: Peter Ullrich 修复开发者: Yordis Prieto 分析师: Jonatan Männchen