CVE-2025-71319
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 46 - wyżej niż 46% wszystkich znanych CVE
Streszczenie
Biblioteka image-size w wersji do 2.0.2 zawiera podatność na atak DoS, umożliwiającą zdalnemu atakującemu zablokowanie pętli zdarzeń Node.js poprzez dostarczenie specjalnie spreparowanego bufora obrazu z polem rozmiaru ustawionym na zero w rozpoznawanym typie kontenera. Atakujący mogą wywołać nieskończoną pętlę w parserach JXL lub HEIF, co prowadzi do trwałego zawieszenia aplikacji.
Ocena ryzyka
Ryzyko polega na możliwości trwałego zablokowania aplikacji Node.js przez zdalnego atakującego bez uwierzytelnienia, co może prowadzić do przerwania działania usługi i wyczerpania zasobów.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę image-size do wersji 2.0.3 lub nowszej, która zawiera poprawkę eliminującą nieskończoną pętlę przy zerowym rozmiarze pola.
Oryginalny opis (angielski, źródło NVD)
image-size through 2.0.2 contains a denial of service vulnerability that allows remote attackers to permanently block the Node.js event loop by supplying a specially crafted image buffer with a zero-valued size field in a recognized box-type. Attackers can trigger an infinite loop in the JXL or HEIF image parsers by providing a crafted image containing a box with a size of zero, causing the offset to never advance and permanently hanging the application.

