漏洞概述 CVE编号: CVE-2026-49762 漏洞类型: 无界整数解析(Unbounded integer parsing) 影响模块: Elixir标准库中的 模块 漏洞描述: 该漏洞允许攻击者通过控制版本字符串导致CPU和内存耗尽的拒绝服务攻击。版本解析器将数字版本组件(主要、次要、补丁和数字预发布/构建标识符)转换为整数,而不限制其长度。单个大的全数字组件会强制进行超线性的、非yielding的base-10到任意精度整数转换,从而占用BEAM调度器;较大的组件会引发未捕获的 ,导致调用进程崩溃。单个中等大小的字符串(约一兆字节)就足以造成问题,无需认证。 CVSS 4.0 评分: 5.1(中等) CWE: CWE-400 — 不受控的资源消耗 CAPEC: CAPEC-130 — 过度分配 影响范围 受影响版本: Elixir 1.5.0 到 1.20.1 受影响模块: - - 受影响源文件: - - 受影响例程: - - - - - - - - - 修复方案 修复版本: <1.20.1 修复状态: 已修复 修复类型: server Git 修复提交: c64417d72f 参考链接 GitHub Advisory OSV.dev Vulnerability GitHub Commit 贡献者 发现者: Peter Ullrich 修复开发者: José Valim 修复审查者: Eric Meadows-Jönsson 分析师: Jonatan Männchen