ultimate-sitemap-parser: vulnerabilidade de descompressão gzip (bomba de descompressão)

Uma vulnerabilidade de bomba de descompressão gzip foi descoberta no ultimate-sitemap-parser. A biblioteca impõe um limite de 100 MiB no tamanho das respostas de sitemap, mas aplica-o apenas aos bytes comprimidos. Quando um sitemap .gz é buscado, a descompressão ocorre sem um limite de tamanho de saída, permitindo que um payload comprimido pequeno (~549 KB) se expanda para mais de 120 MiB na memória, contornando o limite e potencialmente causando negação de serviço.

Qualquer aplicação que chame sitemap_tree_for_homepage() contra um domínio controlado por atacante ou comprometido. Isso inclui ferramentas de SEO, rastreadores de mecanismos de busca, serviços de indexação, frameworks web e pipelines automatizados que rastreiam sitemaps de terceiros.

Aplique o patch de correção fornecido no aviso: modifique gunzip() em usp/helpers.py para aceitar um parâmetro max_output_bytes e imponha-o durante a descompressão, e passe o tamanho máximo não comprimido de fetch_parse.py. Alternativamente, atualize para uma versão corrigida se disponível.