Mealie 在菜谱导入器中包含 DoS 漏洞 (CVE-2024-31992)

admin
admin
admin
0
文章
0
评论
2024-05-21 20:26:56 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Mealie 在菜谱导入器中包含 DoS 漏洞 (CVE-2024-31992)

CVE编号

CVE-2024-31992

利用情况

暂无

补丁情况

N/A

披露时间

2024-04-20
漏洞描述
Mealie是一款自助托管的食谱管理器和饮食计划软件。在1.4.0版本之前,safe_scrape_html函数利用用户可控的URL向远程服务器发出请求,然而这些请求并未进行速率限制。尽管有努力通过对请求设置超时来防止DDoS攻击,但攻击者仍有可能向服务器发送大量请求,这些请求将根据Mealie服务器的配置进行分批处理。响应的分块对于减轻Mealie服务器的内存枯竭很有帮助,但单个请求到一个任意大的外部文件(例如Debian ISO文件)通常足以完全饱和分配给Mealie容器的CPU核心。在没有速率限制的情况下,不仅可以无限期地对外部目标进行流量攻击,还可以耗尽分配给Mealie容器的CPU资源。此漏洞在1.4.0版本中得到修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/mealie-recipes/mealie/blob/mealie-next/mealie/services/scr...
https://github.com/mealie-recipes/mealie/commit/2a3463b7466bc297aede50046da95...
https://github.com/mealie-recipes/mealie/pull/3368
https://securitylab.github.com/advisories/GHSL-2023-225_GHSL-2023-226_Mealie/
CVSS3评分 6.5
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 高
  • 保密性 无
  • 完整性 无
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-32391利用情况 暂无补丁情况 N/A披露时间 2024-04-20漏洞描述Cross Site Scripting
05-210 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0