CVE-2020-5243

Versões do uap-core anteriores à 0.7.3

A vulnerabilidade permite que invasores remotos sobrecarreguem um servidor definindo o cabeçalho User-Agent em uma solicitação HTTP(S) com strings longas criadas de forma maliciosa. Isso ocorre porque algumas expressões regulares são vulneráveis à negação de serviço por expressão regular (REDoS) devido à sobreposição de grupos de captura. Cada expressão regular vulnerável contém três grupos de captura sobrepostos, e o backtracking tem complexidade de tempo aproximadamente cúbica em relação ao comprimento da string do user-agent.

Atualize o uap-core para a versão 0.7.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o comprimento do cabeçalho User-Agent em solicitações HTTP(S) para impedir a exploração. Além disso, desativar ou restringir o uso das expressões regulares vulneráveis pode ajudar a minimizar o risco de exploração até que um patch seja aplicado.