CairoSVG — это конвертер SVG, основанный на Cairo, библиотеке 2D-графики. До Kozea/CairoSVG имелся экспоненциальный отказ в обслуживании посредством рекурсивного усиления элемента <use> в cairosvg/defs.py. Это приводит к перегрузке процессора из-за небольшого ввода.
Показать оригинальное описание (EN)
CairoSVG is an SVG converter based on Cairo, a 2D graphics library. Prior to Kozea/CairoSVG has exponential denial of service via recursive <use> element amplification in cairosvg/defs.py. This causes CPU exhaustion from a small input.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Courtbouillon Cairosvg
cpe:2.3:a:courtbouillon:cairosvg:*:*:*:*:*:*:*:*
|
— |
2.9.0
|