SVGO, сокращение от SVG Optimizer, — это библиотека Node.js и приложение командной строки для оптимизации файлов SVG. От версии 2.1.0 до версии 2.8.1, от версии 3.0.0 до версии 3.3.3 и до версии 4.0.1 SVGO принимает XML с пользовательскими сущностями без защиты от расширения или рекурсии сущностей. Это может привести к тому, что небольшой XML-файл (811 байт) приведет к остановке приложения и даже к сбою процесса Node.js из-за нехватки памяти JavaScript.
Эта проблема исправлена в версиях 2.8.1, 3.3.3 и 4.0.1.
Показать оригинальное описание (EN)
SVGO, short for SVG Optimizer, is a Node.js library and command-line application for optimizing SVG files. From version 2.1.0 to before version 2.8.1, from version 3.0.0 to before version 3.3.3, and before version 4.0.1, SVGO accepts XML with custom entities, without guards against entity expansion or recursion. This can result in a small XML file (811 bytes) stalling the application and even crashing the Node.js process with JavaScript heap out of memory. This issue has been patched in versions 2.8.1, 3.3.3, and 4.0.1.
Характеристики атаки
Последствия
Строка CVSS v3.1