image-size 2.0.2 Denial of Service via Infinite Loop in JXL/HEIF Parser 漏洞概述 image-size 2.0.2 包含一个拒绝服务漏洞,允许远程攻击者通过提供一个包含零大小字段的特制图像来永久阻塞 Node.js 事件循环。攻击者可以在 JXL 或 HEIF 图像解析器中触发无限循环,导致应用程序永久挂起。 影响范围 image-size 1.1.0 <= 1.2.1 image-size 2.0.0 <= 2.0.2 修复方案 升级到不受影响的版本。 参考链接 Researcher Disclosure Archived Pull Request 漏洞详情 其他信息 严重性: HIGH 日期: 6/10/2026 CVE: CVE-2025-71329 CWE: CWE-835 Loop with Unreachable Exit Condition ('Infinite Loop') CVSS: 8.7 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N Credit: Joshua Rogers (@MegaManSec)