CVE-2026-40608 in next-ai-draw-io
要約
〜によって VulDB • 2026年05月20日
Next AI Draw.ioは、AIの機能をdraw.ioダイアグラムと統合するNext.js Webアプリケーションです。バージョン0.4.15より前では、組み込みのHTTPサイドカーに3つのPOSTハンドラー(/api/state、/api/restore、および/api/history-svg)が含まれており、これらはサイズ制限なしでリクエストボディ全体をJavaScript文字列に蓄積することで着信リクエストを処理します。Node.jsはV8ヒープにペイロード全体をバッファリングします。十分に大きなボディ(例:500 MiB以上)を送信すると、プロセスのヒープメモリが枯渇し、Out-of-Memory (OOM) エラーが発生してMCPサーバーがクラッシュします。この脆弱性は0.4.15で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.