Katalog CVE

CVE-2026-53781

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.07%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Podatność w Summarize przed wersją 0.17.0 pozwala zdalnym atakującym na wyczerpanie zasobów dyskowych poprzez serwowanie odpowiedzi medialnych, które omijają narzucone limity rozmiaru. Może to nastąpić przez brak lub błędnie zgłoszone nagłówki Content-Length, kodowanie transferu chunked lub nieudane żądania HEAD.

Ocena ryzyka

Atakujący kontrolujący kanał podcastowy lub URL mediów mogą przesyłać nieograniczone odpowiedzi do lokalnego magazynu, co prowadzi do wyczerpania zasobów dyskowych lub systemowych na hoście uruchamiającym CLI.

Rekomendacja

Zaleca się aktualizację do wersji 0.17.0 lub nowszej oraz monitorowanie i ograniczanie dostępu do kanałów podcastowych i URL-i mediów, aby zapobiec potencjalnym atakom.

Oryginalny opis (angielski, źródło NVD)

Summarize before 0.17.0 contains a resource exhaustion vulnerability that allows remote attackers to cause disk exhaustion by serving media responses that bypass the enforced size limit through missing or misreported Content-Length headers, chunked transfer encoding, or failed HEAD requests. Attackers who control a podcast feed or media URL can stream an unbounded response to local storage via the temp-file download path, exhausting disk or system resources on the host running the CLI.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS