Vulnerabilidad en Vision UI (CVE-2025-54884)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)

Fecha de publicación:

06/08/2025

Última modificación:

06/08/2025

Descripción

Vision UI es una colección de módulos empresariales sin dependencias para proyectos web modernos. En las versiones 1.4.0 y anteriores, las funciones generateSecureId y getSecureRandomInt de las versiones del kit de seguridad anteriores a la 3.5.0 (incluidas en Vision UI 1.4.0 y anteriores) son vulnerables a ataques de denegación de servicio (DoS). La función generateSecureId(length) utilizaba directamente el parámetro length para dimensionar un búfer Uint8Array, lo que permitía a los atacantes agotar la memoria del servidor mediante solicitudes repetidas de IDs grandes, ya que el límite anterior de 1024 era insuficiente. La función getSecureRandomInt(min, max) calculaba el tamaño del búfer basándose en el rango entre min y max. Los rangos grandes provocaban una asignación excesiva de memoria y bucles de rechazo y muestreo con un uso intensivo de la CPU que podían bloquear el hilo. Este problema se solucionó en la versión 1.5.0.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.70

Gravedad 4.0

ALTA

Vulnerabilidad en Vision UI (CVE-2025-54884)

Descripción

Impacto

Referencias a soluciones, herramientas e información