Vulnérabilité de désérialisation dangereuse dans hex_core expose outils Erlang à des attaques

Une vulnérabilité critique de désérialisation non sécurisée, identifiée sous CVE-2026-21619, a été publiée le 1er mars 2026 dans hex_core, l'implémentation de référence de l'API du gestionnaire de paquets Hex de l'écosystème Erlang. Cette faille touche les outils dérivés comme hex et rebar3, utilisés pour les builds de projets Erlang et Elixir. Des attaquants contrôlant un miroir de paquets ou une position réseau pourraient provoquer un déni de service par épuisement de la table des atomes ou exécuter du code à distance par injection d'objets. Erlang, plateforme pour applications concurrentes et tolérantes aux pannes, dépend de Hex.pm pour la gestion de paquets et de rebar3, outil de build autonome, pour la compilation. Cette vulnérabilité met en lumière les risques de la désérialisation de données non fiables issues de réponses API HTTP, un piège fréquent dans les chaînes d'approvisionnement logicielles. Avec un score CVSS v4.0 de 2.0 (faible), elle associe CWE-502 (désérialisation de données non fiables) et CWE-400 (consommation excessive de ressources). Le problème provient de l'usage de la fonction binarytoterm/1, non sécurisée, sur les corps de réponses HTTP. Un proof-of-concept existe, comme indiqué dans l'advisory GitHub. Les versions affectées sont rebar3 < 3.27.0, hex < 2.3.2 et hexcore < 0.12.1. Les correctifs impliquent binarytoterm/2 avec l'option safe, via le commit cdf7260 dans hexcore 0.12.1, et la mise à jour vers rebar3 3.27.0. Les développeurs doivent passer à rebar3 3.27.0 ou supérieur, hex 2.3.2 ou supérieur, et vérifier hex_core ≥ 0.12.1 dans l'arbre des dépendances. Des mesures supplémentaires incluent une validation stricte TLS des miroirs et une vérification des paquets.