Mealie是一款自助托管的食谱管理器和饮食计划软件。在1.4.0版本之前,safe_scrape_html函数利用用户可控的URL向远程服务器发出请求,然而这些请求并未进行速率限制。尽管有努力通过对请求设置超时来防止DDoS攻击,但攻击者仍有可能向服务器发送大量请求,这些请求将根据Mealie服务器的配置进行分批处理。响应的分块对于减轻Mealie服务器的内存枯竭很有帮助,但单个请求到一个任意大的外部文件(例如Debian ISO文件)通常足以完全饱和分配给Mealie容器的CPU核心。在没有速率限制的情况下,不仅可以无限期地对外部目标进行流量攻击,还可以耗尽分配给Mealie容器的CPU资源。此漏洞在1.4.0版本中得到修复。
建议您更新当前系统或软件至最新版,完成漏洞的修复。