Ed Ra

**Nome do software vulnerável e versões afetadas** Versões do Roller anteriores à 6.0.2 **Descrição** O problema decorre do fato de entradas controladas pelo usuário, como `request.getHeader(“Referer”)`, `request.getRequestURL()` e `request.getQueryString()`, serem utilizadas para construir e executar uma expressão regular. Um invasor pode enviar um cabeçalho Referer especialmente criado programaticamente, sem precisar de um navegador, e potencialmente causar um ReDoS (Negação de Serviço por Expressão Regular) por meio de um backtracking catastrófico de expressão regular no lado do servidor. **Recomendações** Para versões anteriores à 6.0.2, atualize para o Roller 6.0.2 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de expressão regular vulnerável até que a atualização possa ser aplicada. Evite usar as entradas `request.getHeader(“Referer”)`, `request.getRequestURL()` e `request.getQueryString()` na expressão regular afetada até que o problema seja resolvido.