Vulnerabilidad en hexpm (CVE-2026-21619)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
27/02/2026
Última modificación:
06/04/2026
Descripción
Consumo de Recursos No Controlado, vulnerabilidad de Deserialización de Datos No Confiables en hexpm hex_core (módulos hex_api), hexpm hex (módulos mix_hex_api), erlang rebar3 (módulos r3_hex_api) permite Inyección de Objetos, Asignación Excesiva. Esta vulnerabilidad está asociada con los archivos de programa src/hex_api.erl, src/mix_hex_api.erl, apps/rebar/src/vendored/r3_hex_api.erl y las rutinas de programa hex_core:request/4, mix_hex_api:request/4, r3_hex_api:request/4.<br />
<br />
Este problema afecta a hex_core: desde 0.1.0 antes de 0.12.1; hex: desde 2.3.0 antes de 2.3.2; rebar3: desde 3.9.1 antes de 3.27.0.
Impacto
Puntuación base 4.0
2.00
Gravedad 4.0
BAJA
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:erlang:rebar3:*:*:*:*:*:*:*:* | 3.9.1 (incluyendo) | 3.27.0 (excluyendo) |
| cpe:2.3:a:hex:hex:*:*:*:*:*:*:*:* | 2.3.0 (incluyendo) | 2.3.2 (excluyendo) |
| cpe:2.3:a:hex:hex_core:*:*:*:*:*:*:*:* | 0.1.0 (incluyendo) | 0.12.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cna.erlef.org/cves/CVE-2026-21619.html
- https://github.com/erlang/rebar3/commit/1d4478f527e373de0b225951e53115450e0d9b9d
- https://github.com/hexpm/hex/commit/636739f3322514e9303ca335fb630696fcbb3c95
- https://github.com/hexpm/hex_core/commit/cdf726095bca85ad2549d146df1e831ae93c2b13
- https://github.com/hexpm/hex_core/security/advisories/GHSA-hx9w-f2w9-9g96
- https://osv.dev/vulnerability/EEF-CVE-2026-21619