CVE-2025-67419
CVE-2025-67419
En resumen
La API de imágenes de EverShop no limita el tamaño de archivos SVG que se pueden procesar, permitiendo que atacantes bloqueen el servidor enviando solicitudes enormes sin necesidad de autenticarse.
Detalle técnico
Atacantes no autenticados pueden explotar el endpoint GET /images en EverShop 2.1.0 y anteriores mediante el envío de archivos SVG con árboles shadow de use-element ilimitados o tiles de patrón sobredimensionados, causando consumo excesivo de memoria y CPU que niega servicio a usuarios legítimos. La vulnerabilidad resulta de la falta de validación de entrada en las dimensiones y profundidad estructural de SVG durante el procesamiento.
Resumen generado y traducido por IA a partir de la descripción oficial.
A Denial of Service (DoS) vulnerability in evershop 2.1.0 and prior allows unauthenticated attackers to exhaust the application server's resources via the "GET /images" API. The application fails to limit the height of the use-element shadow tree or the dimensions of pattern tiles during the processing of SVG files, resulting in unbounded resource consumption and system-wide denial of service.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →