CVE-2026-40608 in next-ai-draw-ioinformação

Sumário

de VulDB • 10/05/2026

Next AI Draw.io é uma aplicação web next.js que integra capacidades de IA com diagramas draw.io. Antes da versão 0.4.15, o sidecar HTTP embutido contém três manipuladores POST (/api/state, /api/restore e /api/history-svg) que processam requisições de entrada acumulando o corpo inteiro da requisição em uma string JavaScript sem quaisquer limitações de tamanho. O Node.js armazena a carga útil inteira no heap do V8. Enviar um corpo suficientemente grande (por exemplo, 500 MiB ou mais) esgotará a memória heap do processo, levando a um erro Out-of-Memory (OOM) que causa a falha do servidor MCP. Esta vulnerabilidade foi corrigida na versão 0.4.15.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

14/04/2026

Divulgação

21/04/2026

Moderação

aceite

Entrada

VDB-358552

CPE

pronto

EPSS

0.00017

KEV

não

Atividades

muito baixo

Sector

Lawfirm, Finance, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40608
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40608
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40608/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!