漏洞概述 漏洞名称:Denial of Service via unbounded image dimensions(无限制图像尺寸导致的拒绝服务) 产品:Nuxt OG Image 版本:6.1.2 CVE ID:CVE-2024- CWE ID:CWE-404(Improper Resource Shutdown or Release) CVSS v4.0:8.6(High) CVSS v3.1:5.3/10(Medium) 漏洞描述:图像生成功能未对生成图像的宽度和高度参数进行限制,导致攻击者可通过构造超大尺寸请求耗尽服务器资源,造成拒绝服务。 --- 影响范围 --- 修复方案 缓解措施:对生成图像的宽度和长度参数实施限制。 官方修复:升级至 6.2.5 或更高版本。 --- POC代码/利用代码 配置文件(nuxt.config.ts) HTTP请求示例 利用效果:发送此请求将导致服务器资源耗尽,触发 错误,最终可能造成系统内存耗尽(如图2所示的Kernel-Power事件)。