CVE-2026-40608

Name of the Vulnerable Software and Affected Versions Next AI Draw.io versões anteriores a 0.4.15

Description O sidecar HTTP incorporado contém três manipuladores POST, ''/api/state'', ''/api/restore'' e ''/api/history-svg'', que processam solicitações recebidas acumulando todo o corpo da solicitação em uma string JavaScript sem limitações de tamanho. Como o Node.js armazena todo o payload no heap V8, o envio de um corpo suficientemente grande pode esgotar a memória heap do processo, resultando em um erro de Out-of-Memory (OOM) que trava o servidor MCP.

Recommendations Atualizar para a versão 0.4.15.