CVE-2025-67419
CVE-2025-67419
Em resumo
A API de imagens do EverShop não limita o tamanho de arquivos SVG que podem ser processados, permitindo que atacantes travem o servidor enviando requisições gigantes sem precisar fazer login.
Detalhe técnico
Atacantes não autenticados podem explorar o endpoint GET /images do EverShop 2.1.0 e versões anteriores enviando arquivos SVG com árvores shadow de use-element ilimitadas ou tiles de padrão oversized, causando consumo excessivo de memória e CPU que nega serviço a usuários legítimos. A vulnerabilidade resulta da falta de validação de entrada nas dimensões e profundidade estrutural de SVG durante o processamento.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A Denial of Service (DoS) vulnerability in evershop 2.1.0 and prior allows unauthenticated attackers to exhaust the application server's resources via the "GET /images" API. The application fails to limit the height of the use-element shadow tree or the dimensions of pattern tiles during the processing of SVG files, resulting in unbounded resource consumption and system-wide denial of service.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →