Vulnerabilidad en stangirard/quivr v0.0.298 (CVE-2024-9229)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/03/2025

Última modificación:

15/10/2025

Descripción

Una vulnerabilidad de denegación de servicio (DoS) en la función de carga de archivos de stangirard/quivr v0.0.298 permite a atacantes no autenticados consumir recursos excesivamente añadiendo caracteres al final de un límite multiparte en una solicitud HTTP. Esto provoca que el servidor procese continuamente cada carácter, lo que inhabilita el servicio y afecta a todos los usuarios.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://huntr.com/bounties/946a412d-422f-4623-bb1d-d2646ad23dfd