← voltar
CVE-2025-71330

image-size 2.0.2 Denial of Service via Malformed ICNS Image Parsing

CVSS 8.7 HIGHEPSS 0.4%CWE-835
Vexday Risk Score
41Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 8.7EPSS 0.4%KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
10 jun 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
image-size through 2.0.2 contains a denial of service vulnerability that allows remote attackers to permanently block the Node.js event loop by supplying a specially crafted ICNS image buffer. Attackers can craft an ICNS buffer containing valid magic bytes and a zero-valued entry length field to trigger an infinite loop in the ICNS parser, as the offset is never incremented when the entry length field is 0, causing the while loop condition to remain true indefinitely.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Produtos afetados
image-size · image-size
PoCs públicas encontradas1
cve_referencejoshua.hu/image-size-infinite-loop-dos-vulnerabilitiesnão verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://joshua.hu/image-size-infinite-loop-dos-vulnerabilitieshttps://web.archive.org/web/20260224152152/https://github.com/image-size/image-size/pull/439https://www.vulncheck.com/advisories/image-size-denial-of-service-via-malformed-icns-image-parsing