CVE-2025-71329
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 - wyżej niż 33% wszystkich znanych CVE
Streszczenie
Wersja 2.0.2 biblioteki image-size zawiera podatność na odmowę usługi, która pozwala zdalnym atakującym na zablokowanie pętli zdarzeń Node.js. Atakujący mogą wywołać nieskończoną pętlę w parserach obrazów JXL lub HEIF, dostarczając specjalnie przygotowany obraz z zerową wartością pola rozmiaru.
Ocena ryzyka
Podatność ta może prowadzić do trwałego zablokowania aplikacji, co wpływa na dostępność usług. Organizacje mogą doświadczyć przestojów i utraty zaufania użytkowników.
Rekomendacja
Zaleca się aktualizację biblioteki image-size do najnowszej wersji, aby usunąć tę podatność. Należy również monitorować aplikacje pod kątem nieautoryzowanych prób dostarczenia złośliwych obrazów.
Oryginalny opis (angielski, źródło NVD)
image-size through 2.0.2 contains a denial of service vulnerability that allows remote attackers to permanently block the Node.js event loop by supplying a specially crafted image buffer with a zero-valued size field in a recognized box-type. Attackers can trigger an infinite loop in the JXL or HEIF image parsers by providing a crafted image containing a box with a size of zero, causing the offset to never advance and permanently hanging the application.

