Katalog CVE

CVE-2025-71329

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 33 - wyżej niż 33% wszystkich znanych CVE

Streszczenie

Wersja 2.0.2 biblioteki image-size zawiera podatność na odmowę usługi, która pozwala zdalnym atakującym na zablokowanie pętli zdarzeń Node.js. Atakujący mogą wywołać nieskończoną pętlę w parserach obrazów JXL lub HEIF, dostarczając specjalnie przygotowany obraz z zerową wartością pola rozmiaru.

Ocena ryzyka

Podatność ta może prowadzić do trwałego zablokowania aplikacji, co wpływa na dostępność usług. Organizacje mogą doświadczyć przestojów i utraty zaufania użytkowników.

Rekomendacja

Zaleca się aktualizację biblioteki image-size do najnowszej wersji, aby usunąć tę podatność. Należy również monitorować aplikacje pod kątem nieautoryzowanych prób dostarczenia złośliwych obrazów.

Oryginalny opis (angielski, źródło NVD)

image-size through 2.0.2 contains a denial of service vulnerability that allows remote attackers to permanently block the Node.js event loop by supplying a specially crafted image buffer with a zero-valued size field in a recognized box-type. Attackers can trigger an infinite loop in the JXL or HEIF image parsers by providing a crafted image containing a box with a size of zero, causing the offset to never advance and permanently hanging the application.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS