Sporkmonger

Name of the Vulnerable Software and Affected Versions Addressable versões 2.3.0 através de 2.8.9 Description Addressable, uma implementação alternativa de URI para Ruby, contém uma falha em sua implementação de template de URI. Templates que utilizam o modificador '*' (explode) com qualquer operador de expansão (por exemplo, {foo*}, {+var*}, {#var*}, {/var*}, {.var*}, {;var*}, {?var*}, {&var*}) geram expressões regulares suscetíveis a backtracking catastrófico quando correspondidas a URIs criadas maliciosamente. Da mesma forma, templates com várias variáveis usando os operadores '+' ou '#' (por exemplo, {+v1,v2,v3}) também podem levar a backtracking catastrófico devido ao separador de vírgula dentro da classe de caracteres correspondida. Isso pode resultar em consumo descontrolado de recursos e negação de serviço. Recommendations Atualize para a versão 2.9.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Addressable 2.3.0 a 2.7.0 **Descrição** O problema está relacionado a uma vulnerabilidade de consumo descontrolado de recursos na biblioteca Addressable, que é uma implementação alternativa à implementação de URI na biblioteca padrão do Ruby. Essa vulnerabilidade pode ser explorada por um modelo criado de forma maliciosa, levando à negação de serviço quando comparado a um URI. Normalmente, os modelos não seriam lidos a partir de entradas de usuários não confiáveis, mas alertas de segurança anteriores não advertiram contra essa prática. Usuários dos recursos de análise do Addressable, mas não dos recursos de modelos URI, não são afetados. **Recomendações** Para as versões 2.3.0 a 2.7.0 do Addressable, atualize para a versão 2.8.0 para resolver o problema. Como solução alternativa temporária, crie objetos Template apenas a partir de fontes confiáveis que tenham sido validadas para não produzir backtracking catastrófico.