CVE-2025-32949

This vulnerability allows any authenticated user to cause the server to consume very large amounts of disk space when extracting a Zip Bomb. If user import is enabled (which is the default setting), any registered user can upload an archive for importing. The code uses the yauzl library for reading the archive. The yauzl library does not contain any mechanism to detect or prevent extraction of a Zip Bomb https://en.wikipedia.org/wiki/Zip_bomb . Therefore, when using the User Import functionality with a Zip Bomb, PeerTube will try extracting the archive which will cause a disk space resource exhaustion.

This vulnerability allows any authenticated user to cause the server to consume very large amounts of disk space when extracting a Zip Bomb. If user import is enabled (which is the default setting), any registered user can upload an archive for importing. The code uses the yauzl library for reading the archive. The yauzl library does not contain any mechanism to detect or prevent extraction of a Zip Bomb https://en.wikipedia.org/wiki/Zip_bomb . Therefore, when using the User Import functionality with a Zip Bomb, PeerTube will try extracting the archive which will cause a disk space resource exhaustion.

Esta vulnerabilidad permite que cualquier usuario autenticado haga que el servidor consuma grandes cantidades de espacio en disco al extraer Zip Bomb. Si la importación de usuarios está habilitada (configuración predeterminada), cualquier usuario registrado puede cargar un archivo para su importación. El código utiliza la librería yauzl para leer el archivo. Esta librería no contiene ningún mecanismo para detectar o prevenir la extracción de Zip Bomb (https://en.wikipedia.org/wiki/Zip_bomb). Por lo tanto, al usar la función de importación de usuarios con Zip Bomb, PeerTube intentará extraer el archivo, lo que agotará el espacio en disco.