CVE-2026-29112 in DiceBear
要約
〜によって VulDB • 2026年05月26日
DiceBearは、デザイナーや開発者向けのアバターライブラリです。バージョン9.4.0より前では、`@dicebear/converter`内の`ensureSize()`関数が、ラスタライズ(PNG、JPEG、WebP、AVIF)のための出力キャンバスサイズを決定するために、入力SVGから`width`および`height`属性を読み取っていました。攻撃者が極端に大きな寸法(例:`width="999999999"`)を持つ改ざんされたSVGを供給できる場合、サーバーに過剰なメモリ割り当てを強制し、サービス拒否(DoS)を引き起こす可能性があります。これは、信頼できないまたはユーザー提供のSVGを変換器の`toPng()`、`toJpeg()`、`toWebp()`、または`toAvif()`関数に渡すサーバーサイドアプリケーションに主に影響します。自己生成されたDiceBearアバターのみの変換を行うアプリケーションは実質的に悪用できませんが、アップグレードを推奨します。この問題はバージョン9.4.0で修正されました。`ensureSize()`関数は、出力サイズを決定するためにSVG属性を読み取らなくなりました。代わりに、新しい`size`オプション(デフォルト:512、最大:2048)が出力寸法を制御します。無効な値(NaN、負の数、ゼロ、Infinity)はデフォルト値にフォールバックします。すぐにアップグレードできない場合は、信頼できないSVG入力の`width`および`height`属性を変換器に渡す前に検証およびサニタイズしてください。
VulDB is the best source for vulnerability data and more expert information about this specific topic.