Mealie 在菜谱图像导入器中容易受到 DoS 攻击 (GHSL-2023-228) (CVE-2024-31994)

admin
admin
admin
0
文章
0
评论
2024-05-21 20:24:56 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Mealie 在菜谱图像导入器中容易受到 DoS 攻击 (GHSL-2023-228) (CVE-2024-31994)

CVE编号

CVE-2024-31994

利用情况

暂无

补丁情况

N/A

披露时间

2024-04-20
漏洞描述
Mealie是一个自助托管的食谱管理器和餐饮计划器。在1.4.0之前,攻击者可以将图像请求指向一个任意大的文件。Mealie将尝试完整地检索此文件。如果可以检索到,它可能会被完整存储在文件系统中(导致可能的磁盘消耗),然而更有可能的情况是,由于资源限制,容器在文件检索过程中会因为目标文件大小大于容器分配的内存而导致OOM。在最好的情况下,这可以被用来强制容器由于OOM而无限重新启动(如果在docker-compose.yml中配置的话),或者在最坏的情况下,这可以被用来强制Mealie容器崩溃并保持离线。如果文件可以被检索,此端点上的缺乏速率限制也允许攻击者对他们选择的任何目标生成持续的请求,潜在地导致外部面向DoS攻击。此漏洞已在1.4.0中修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/mealie-recipes/mealie/blob/ee121a12f8db33ecb4db5f8582f7ea9...
https://github.com/mealie-recipes/mealie/commit/2a3463b7466bc297aede50046da95...
https://github.com/mealie-recipes/mealie/pull/3368
https://securitylab.github.com/advisories/GHSL-2023-225_GHSL-2023-226_Mealie/
CVSS3评分 6.5
  • 攻击路径 本地
  • 攻击复杂度 低
  • 权限要求 低
  • 影响范围 已更改
  • 用户交互 无
  • 可用性 高
  • 保密性 无
  • 完整性 无
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-1057利用情况 暂无补丁情况 N/A披露时间 2024-04-20漏洞描述ShopLentor – WooCommer
05-210 评论
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-4014利用情况 暂无补丁情况 N/A披露时间 2024-04-20漏洞描述WordPress插件hCaptcha fo
05-210 评论
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-1730利用情况 暂无补丁情况 N/A披露时间 2024-04-20漏洞描述WordPress的The Prime Sl
05-210 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0