CVE-2026-53781
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Podatność w Summarize przed wersją 0.17.0 pozwala zdalnym atakującym na wyczerpanie zasobów dyskowych poprzez serwowanie odpowiedzi medialnych, które omijają narzucone limity rozmiaru. Może to nastąpić przez brak lub błędnie zgłoszone nagłówki Content-Length, kodowanie transferu chunked lub nieudane żądania HEAD.
Ocena ryzyka
Atakujący kontrolujący kanał podcastowy lub URL mediów mogą przesyłać nieograniczone odpowiedzi do lokalnego magazynu, co prowadzi do wyczerpania zasobów dyskowych lub systemowych na hoście uruchamiającym CLI.
Rekomendacja
Zaleca się aktualizację do wersji 0.17.0 lub nowszej oraz monitorowanie i ograniczanie dostępu do kanałów podcastowych i URL-i mediów, aby zapobiec potencjalnym atakom.
Oryginalny opis (angielski, źródło NVD)
Summarize before 0.17.0 contains a resource exhaustion vulnerability that allows remote attackers to cause disk exhaustion by serving media responses that bypass the enforced size limit through missing or misreported Content-Length headers, chunked transfer encoding, or failed HEAD requests. Attackers who control a podcast feed or media URL can stream an unbounded response to local storage via the temp-file download path, exhausting disk or system resources on the host running the CLI.

