Unfurl до 2026.04 содержит неограниченную уязвимость распаковки zlib в parse_compressed.py, которая позволяет удаленным злоумышленникам вызывать отказ в обслуживании. Злоумышленники могут отправлять сильно сжатые полезные данные через параметры URL-адреса на конечную точку /json/visjs, которые расширяются до гигабайт, что приводит к исчерпанию памяти сервера и сбою службы.
Показать оригинальное описание (EN)
Unfurl before 2026.04 contains an unbounded zlib decompression vulnerability in parse_compressed.py that allows remote attackers to cause denial of service. Attackers can submit highly compressed payloads via URL parameters to the /json/visjs endpoint that expand to gigabytes, exhausting server memory and crashing the service.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ryandfir Unfurl
cpe:2.3:a:ryandfir:unfurl:*:*:*:*:*:*:*:*
|
— |
2026.04
|
Ссылки 3
https://github.com/obsidianforensics/unfurl/releases/tag/v2026.04
disclosure@vulncheck.com
https://github.com/obsidianforensics/unfurl/security/advisories/GHSA-h5qv-qjv4-…
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/dfir-unfurl-denial-of-service-via-unbounde…
disclosure@vulncheck.com