CVE-2025-54884

Vision UI is a collection of enterprise-grade, dependency-free modules for modern web projects. In versions 1.4.0 and below, the generateSecureId and getSecureRandomInt functions in security-kit versions prior to 3.5.0 (packaged in Vision UI 1.4.0 and below) are vulnerable to Denial of Service (DoS) attacks. The generateSecureId(length) function directly used the length parameter to size a Uint8Array buffer, allowing attackers to exhaust server memory through repeated requests for large IDs since the previous 1024 limit was insufficient. The getSecureRandomInt(min, max) function calculated buffer size based on the range between min and max, where large ranges caused excessive memory allocation and CPU-intensive rejection-sampling loops that could hang the thread. This issue is fixed in version 1.5.0.

CVSS

No CVSS.

References

Link	Resource
https://github.com/DavidOsipov/Vision-ui/commit/74802cd688b661a35e638fc96938d65ca7c05ff5
https://github.com/DavidOsipov/Vision-ui/releases/tag/1.5.0
https://github.com/DavidOsipov/Vision-ui/security/advisories/GHSA-gg28-wc2c-jjj3

Configurations

No configuration.

History

06 Aug 2025, 20:23

Type	Values Removed	Values Added
Summary		(es) Vision UI es una colección de módulos empresariales sin dependencias para proyectos web modernos. En las versiones 1.4.0 y anteriores, las funciones generateSecureId y getSecureRandomInt de las versiones del kit de seguridad anteriores a la 3.5.0 (incluidas en Vision UI 1.4.0 y anteriores) son vulnerables a ataques de denegación de servicio (DoS). La función generateSecureId(length) utilizaba directamente el parámetro length para dimensionar un búfer Uint8Array, lo que permitía a los atacantes agotar la memoria del servidor mediante solicitudes repetidas de IDs grandes, ya que el límite anterior de 1024 era insuficiente. La función getSecureRandomInt(min, max) calculaba el tamaño del búfer basándose en el rango entre min y max. Los rangos grandes provocaban una asignación excesiva de memoria y bucles de rechazo y muestreo con un uso intensivo de la CPU que podían bloquear el hilo. Este problema se solucionó en la versión 1.5.0.

06 Aug 2025, 00:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-08-06 00:15

Updated : 2025-08-06 20:23

NVD link : CVE-2025-54884

Mitre link : CVE-2025-54884

CVE.ORG link : CVE-2025-54884

JSON object : View

Products Affected

No product.

CWE

CWE-400

Uncontrolled Resource Consumption

CWE-770

Allocation of Resources Without Limits or Throttling

JSON object

Attach tags to CVE-2025-54884

Attach tags to `CVE-2025-54884`