CVE-2025-71330
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 - wyżej niż 33% wszystkich znanych CVE
Streszczenie
Wersja 2.0.2 biblioteki image-size zawiera podatność typu denial of service, która pozwala zdalnym atakującym na trwałe zablokowanie pętli zdarzeń Node.js poprzez dostarczenie specjalnie przygotowanego bufora obrazu ICNS. Atakujący mogą stworzyć bufor ICNS z ważnymi bajtami magicznymi oraz zerową długością wpisu, co prowadzi do nieskończonej pętli w parserze ICNS.
Ocena ryzyka
Podatność ta może prowadzić do całkowitego zablokowania aplikacji, co skutkuje przerwaniem jej działania i potencjalnymi stratami finansowymi dla organizacji.
Rekomendacja
Zaleca się aktualizację biblioteki image-size do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie aplikacji pod kątem nieautoryzowanych prób dostępu.
Oryginalny opis (angielski, źródło NVD)
image-size through 2.0.2 contains a denial of service vulnerability that allows remote attackers to permanently block the Node.js event loop by supplying a specially crafted ICNS image buffer. Attackers can craft an ICNS buffer containing valid magic bytes and a zero-valued entry length field to trigger an infinite loop in the ICNS parser, as the offset is never incremented when the entry length field is 0, causing the while loop condition to remain true indefinitely.

