Tubadeligoz

Nome do Software Vulnerável e Versões Afetadas Mesop versões 1.2.3 através de 1.2.5 Descrição Mesop, um framework de UI baseado em Python, contém um problema de consumo descontrolado de recursos em sua implementação WebSocket. Um atacante não autenticado pode enviar uma rápida sucessão de mensagens WebSocket, fazendo com que o servidor gere um número ilimitado de threads do sistema operacional. Isso leva ao esgotamento de threads e erros de falta de memória (OOM), resultando em uma negação de serviço (DoS). A vulnerabilidade existe devido à falta de um pool de threads, fila de mensagens ou mecanismos de limitação de taxa na função `handle websocket` dentro de `mesop/server/server.py`. A função gera um novo `threading.Thread` para cada mensagem WebSocket recebida sem restrições. Uma prova de conceito (PoC) demonstra que inundar o endpoint WebSocket com uma carga útil base64 válida mínima pode rapidamente esgotar os recursos do servidor e derrubar o aplicativo. A vulnerabilidade é classificada como uma negação de serviço (DoS) com alta gravidade, pois um invasor pode facilmente derrubar o aplicativo com largura de banda mínima. Recomendações As versões 1.2.3 através de 1.2.5 são afetadas. Atualize para a versão 1.2.5 para resolver o problema.