DiceBear — это библиотека аватаров для дизайнеров и разработчиков. До версии 9.4.0 функция обеспечения размера() в @dicebear/converter считывала атрибуты ширины и высоты из входного SVG, чтобы определить размер выходного холста для растеризации (PNG, JPEG, WebP, AVIF). Злоумышленник, который может предоставить созданный SVG чрезвычайно больших размеров (например, `width="999999999"`), может заставить сервер выделить избыточную память, что приведет к отказу в обслуживании.
В первую очередь это влияет на серверные приложения, которые передают ненадежные или предоставленные пользователем SVG-файлы функциям конвертера `toPng()`, `toJpeg()`, `toWebp()` или `toAvif()` конвертера. Приложения, которые конвертируют только самостоятельно созданные аватары DiceBear, практически не пригодны для использования, но их все же рекомендуется обновить. Это исправлено в версии 9.4.0.
Функция обеспечения размера() больше не считывает атрибуты SVG для определения размера вывода. Вместо этого новая опция «размер» (по умолчанию: 512, максимум: 2048) управляет выходными размерами. Недопустимые значения (NaN, отрицательные, ноль, бесконечность) возвращаются к значениям по умолчанию.
Если обновление невозможно немедленно, проверьте и очистите атрибуты «ширина» и «высота» любых ненадежных входных данных SVG, прежде чем передавать их в преобразователь.
Показать оригинальное описание (EN)
DiceBear is an avatar library for designers and developers. Prior to version 9.4.0, the `ensureSize()` function in `@dicebear/converter` read the `width` and `height` attributes from the input SVG to determine the output canvas size for rasterization (PNG, JPEG, WebP, AVIF). An attacker who can supply a crafted SVG with extremely large dimensions (e.g. `width="999999999"`) could force the server to allocate excessive memory, leading to denial of service. This primarily affects server-side applications that pass untrusted or user-supplied SVGs to the converter's `toPng()`, `toJpeg()`, `toWebp()`, or `toAvif()` functions. Applications that only convert self-generated DiceBear avatars are not practically exploitable, but are still recommended to upgrade. This is fixed in version 9.4.0. The `ensureSize()` function no longer reads SVG attributes to determine output size. Instead, a new `size` option (default: 512, max: 2048) controls the output dimensions. Invalid values (NaN, negative, zero, Infinity) fall back to the default. If upgrading is not immediately possible, validate and sanitize the `width` and `height` attributes of any untrusted SVG input before passing it to the converter.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Dicebear Dicebear
cpe:2.3:a:dicebear:dicebear:*:*:*:*:*:*:*:*
|
— |
9.4.0
|