PT-2020-19779 · Express · Express-Validators
Yeting Li
·
Publicado
2020-11-11
·
Atualizado
2021-07-21
·
CVE-2020-7767
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Todas as versões do express-validators
Descrição
A vulnerabilidade diz respeito a um ataque de negação de serviço por expressão regular (ReDoS) que ocorre durante a validação de URLs inválidas criadas especificamente para esse fim. Isso pode acontecer em todas as versões do pacote express-validators.
Recomendações
Para todas as versões do express-validators, considere desativar a função de validação de URLs até que um patch esteja disponível para evitar possíveis ataques ReDoS. Restrinja o acesso ao módulo de validação para minimizar o risco de exploração. Evite usar o pacote express-validators para validação de URLs até que o problema seja resolvido.
Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Express-Validators