Vulnerabilidad en Bugsink (CVE-2025-64508)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/11/2025
Última modificación:
12/11/2025
Descripción
Bugsink es una herramienta de seguimiento de errores autohospedada. En versiones anteriores a la 2.0.5, se pueden enviar 'bombas' brotli (flujos brotli altamente comprimidos, como muchos ceros) al servidor. Dado que el servidor intentará descomprimir estos flujos antes de aplicar varios máximos, esto puede llevar al agotamiento de la memoria disponible y, por lo tanto, a una Denegación de Servicio. Esto se puede lograr si se conoce el 'DSN', lo cual ocurre en muchas configuraciones comunes (JavaScript, aplicaciones móviles). El problema está parcheado en la versión '2.0.5' de Bugsink. La vulnerabilidad es similar, pero distinta, a otro problema relacionado con brotli en Bugsink, GHSA-rrx3-2x4g-mq2h/CVE-2025-64509.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/bugsink/bugsink/commit/3f65544aab3ad5303d97009136640de97b0676a5
- https://github.com/bugsink/bugsink/pull/266
- https://github.com/bugsink/bugsink/security/advisories/GHSA-fc2v-vcwj-269v
- https://github.com/google/brotli/commit/67d78bc41db1a0d03f2e763497748f2f69946627
- https://github.com/google/brotli/issues/1327
- https://github.com/google/brotli/issues/1375
- https://github.com/google/brotli/pull/1234
- https://github.com/google/brotli/releases/tag/v1.2.0