CVE-2024-31992

Versões do Mealie anteriores à 1.4.0

O problema decorre da função safe scrape html, que utiliza uma URL controlada pelo usuário para enviar solicitações a um servidor remoto sem limitação de taxa. Embora haja esforços para prevenir ataques DDoS por meio da implementação de tempos de espera, um invasor ainda pode emitir um grande número de solicitações que serão processadas em lotes, dependendo da configuração do servidor Mealie. O particionamento das respostas ajuda a mitigar o esgotamento da memória, mas uma única solicitação a um grande arquivo externo pode saturar um núcleo da CPU atribuído ao contêiner do Mealie. Sem limitação de taxa, é possível manter o tráfego contra um alvo externo indefinidamente e esgotar os recursos da CPU atribuídos ao contêiner do Mealie.

Para versões anteriores à 1.4.0, atualize para a versão 1.4.0 para resolver o problema. Como solução alternativa temporária, considere implementar limitação de taxa nas solicitações à função safe scrape html para evitar o esgotamento dos recursos da CPU. Restrinja o acesso a arquivos externos que possam ser usados para saturar os recursos da CPU.