Vikunja — это автономная платформа управления задачами с открытым исходным кодом. Начиная с версии 1.0.0-rc0 и до версии 2.2.0, неограниченное декодирование изображений и изменение их размера во время создания предварительного просмотра позволяет злоумышленнику истощать процессор и память сильно сжатыми, но чрезвычайно большими изображениями. Версия 2.2.0 исправляет проблему.
Показать оригинальное описание (EN)
Vikunja is an open-source self-hosted task management platform. Starting in version 1.0.0-rc0 and prior to version 2.2.0, unbounded image decoding and resizing during preview generation lets an attacker exhaust CPU and memory with highly compressed but extremely large-dimension images. Version 2.2.0 patches the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vikunja Vikunja
cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:*
|
1.0.0
|
2.2.0
|