Mealie 在菜谱图像导入器中容易受到 DoS 攻击 (GHSL-2023-228) (CVE-2024-31994)
CVE编号
CVE-2024-31994利用情况
暂无补丁情况
N/A披露时间
2024-04-20漏洞描述
Mealie是一个自助托管的食谱管理器和餐饮计划器。在1.4.0之前,攻击者可以将图像请求指向一个任意大的文件。Mealie将尝试完整地检索此文件。如果可以检索到,它可能会被完整存储在文件系统中(导致可能的磁盘消耗),然而更有可能的情况是,由于资源限制,容器在文件检索过程中会因为目标文件大小大于容器分配的内存而导致OOM。在最好的情况下,这可以被用来强制容器由于OOM而无限重新启动(如果在docker-compose.yml中配置的话),或者在最坏的情况下,这可以被用来强制Mealie容器崩溃并保持离线。如果文件可以被检索,此端点上的缺乏速率限制也允许攻击者对他们选择的任何目标生成持续的请求,潜在地导致外部面向DoS攻击。此漏洞已在1.4.0中修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 本地
- 攻击复杂度 低
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 高
- 保密性 无
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论