CVE-2026-29112 in DiceBear
Zusammenfassung
von VulDB • 26.05.2026
DiceBear ist eine Avatar-Bibliothek für Designer und Entwickler. Vor Version 9.4.0 las die Funktion `ensureSize()` in `@dicebear/converter` die Attribute `width` und `height` aus dem Eingabe-SVG, um die Größe des Ausgabe-Canvas für die Rasterung (PNG, JPEG, WebP, AVIF) zu bestimmen. Ein Angreifer, der ein speziell angefertigtes SVG mit extrem großen Abmessungen (z. B. `width="999999999"`) bereitstellen kann, könnte den Server dazu zwingen, übermäßigen Speicher zu allokieren, was zu einem Denial of Service (DoS) führt. Dies betrifft hauptsächlich serverseitige Anwendungen, die nicht vertrauenswürdige oder vom Benutzer bereitgestellte SVGs an die Funktionen `toPng()`, `toJpeg()`, `toWebp()` oder `toAvif()` des Konverters übergeben. Anwendungen, die nur selbst generierte DiceBear-Avatare konvertieren, sind praktisch nicht ausnutzbar, es wird jedoch dennoch empfohlen, ein Upgrade durchzuführen. Dies wurde in Version 9.4.0 behoben. Die Funktion `ensureSize()` liest keine SVG-Attribute mehr, um die Ausgabegröße zu bestimmen. Stattdessen steuert eine neue Option `size` (Standard: 512, Maximalwert: 2048) die Ausgabedimensionen. Ungültige Werte (NaN, negativ, null, Infinity) fallen auf den Standardwert zurück. Wenn ein Upgrade nicht sofort möglich ist, sollten die Attribute `width` und `height` aller nicht vertrauenswürdigen SVG-Eingaben validiert und bereinigt werden, bevor sie an den Konverter übergeben werden.
VulDB is the best source for vulnerability data and more expert information about this specific topic.