Unfurl before 2026.04 contains an unbounded zlib decompression vulnerability in parse_compressed.py that allows remote attackers to cause denial of service. Attackers can submit highly compressed payloads via URL parameters to the /json/visjs endpoint that expand to gigabytes, exhausting server memory and crashing the service.
Unfurl before version 2026.04 contains an unbounded zlib decompression vulnerability in parse_compressed.py that allows remote attackers to cause denial of service through malicious compressed payloads. Attackers can submit highly compressed data via URL parameters to the /json/visjs endpoint that expand to gigabytes, exhausting server memory and crashing the service.
تحتوي نسخ Unfurl السابقة للإصدار 2026.04 على ثغرة في معالج parse_compressed.py تسمح بفك ضغط zlib غير محدود. يمكن للمهاجمين استغلال هذه الثغرة بإرسال حمولات مضغوطة بدرجة عالية عبر معاملات URL إلى نقطة النهاية /json/visjs. هذا يؤدي إلى استنزاف موارد الذاكرة وتعطل الخدمة.
إصدارات Unfurl السابقة للإصدار 2026.04 تحتوي على ثغرة في فك ضغط zlib غير محدودة تسمح للمهاجمين بإحداث رفض الخدمة. يمكن للمهاجمين إرسال بيانات مضغوطة عالية عبر معاملات URL إلى نقطة النهاية /json/visjs مما يؤدي إلى استنزاف ذاكرة الخادم وتعطله.
Upgrade Unfurl to version 2026.04 or later immediately. Implement input validation and size limits on compressed payloads before decompression. Deploy rate limiting on the /json/visjs endpoint. Monitor server memory usage and set decompression size quotas. Consider disabling URL-based compression features if not required.
قم بترقية Unfurl إلى الإصدار 2026.04 أو أحدث فوراً. طبق التحقق من صحة المدخلات وحدود الحجم على الحمولات المضغوطة قبل فك الضغط. نشر تحديد معدل على نقطة النهاية /json/visjs. راقب استخدام ذاكرة الخادم وحدد حصص حجم فك الضغط. فكر في تعطيل ميزات الضغط القائمة على URL إذا لم تكن مطلوبة.