CVE-2026-40608 in next-ai-draw-ioinfo

Zusammenfassung

von VulDB • 26.05.2026

Next AI Draw.io ist eine Next.js-Webanwendung, die KI-Funktionen mit draw.io-Diagrammen integriert. Vor Version 0.4.15 enthält der eingebettete HTTP-Sidecar drei POST-Handler (/api/state, /api/restore und /api/history-svg), die eingehende Anfragen verarbeiten, indem sie den gesamten Anfragekörper in einen JavaScript-String ohne jegliche Größenbeschränkungen accumuliern. Node.js puffert das gesamte Payload im V8-Heap. Das Senden eines ausreichend großen Körpers (z. B. 500 MiB oder mehr) erschöpft den Heap-Speicher des Prozesses, was zu einem Out-of-Memory (OOM)-Fehler führt, der den MCP-Server abstürzen lässt. Diese Schwachstelle wurde in Version 0.4.15 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

14.04.2026

Veröffentlichung

21.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358552

CPE

bereit

EPSS

0.00017

KEV

nein

Aktivitäten

very low

Sektor

Lawfirm, Homeoffice, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40608
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40608
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40608/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!