CVE-2024-10821

Nome do Software Vulnerável e Versões Afetadas Servidor Invoke-AI versão v5.0.1

Descrição Existe uma vulnerabilidade de Negação de Serviço (DoS) no mecanismo de processamento de limites de requisições multipart, permitindo que atacantes não autenticados causem consumo excessivo de recursos ao anexar caracteres excessivos ao final dos limites multipart. Isso resulta em um loop infinito e uma negação de serviço completa para todos os usuários. O endpoint afetado é "/api/v1/images/upload".

Recomendações Para o servidor Invoke-AI versão v5.0.1, considere desativar o acesso ao endpoint "/api/v1/images/upload" até que um patch esteja disponível para prevenir a exploração. Além disso, restringir o tamanho dos limites multipart pode ajudar a mitigar o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.