CVE-2014-3648

simplepush server (versões afetadas não especificadas)

A vulnerabilidade permite que um invasor gere exceções infinitas ou sobrecarregue o servidor ao registrar aplicativos falsos com deviceTokens inválidos. Isso pode transformar o servidor em um vetor de ataque DDOS ou em um anonimizador para a disseminação de malware. O servidor percorre as instalações de aplicativos e envia notificações para servidores controlados pelo usuário, fornecidos pelo deviceToken. Um invasor pode fornecer qualquer endpoint HTTP, potencialmente desperdiçando o tempo do servidor com endpoints lentos ou fazendo com que ele gere exceções quando esses endpoints não puderem ser alcançados.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.