PT-2020-5773 · Apache+1 · Org.Apache.Marmotta.Webjars:Codemirror+1

Yeting Li

·

Publicado

2020-10-01

·

Atualizado

2022-05-12

·

CVE-2020-7760

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
**Nome do software vulnerável e versões afetadas:
versões do codemirror anteriores à 5.58.2
org.apache.marmotta.webjars:codemirror versões anteriores à 5.58.2
Descrição:
O problema está relacionado a uma vulnerabilidade ReDOS na expressão regular do pacote codemirror. Essa vulnerabilidade se deve principalmente ao subpadrão (s|/*.*?*/)* localizado no arquivo javascript.js. A vulnerabilidade pode ser explorada por um invasor remoto para causar uma negação de serviço.
Recomendações:
Para versões do codemirror anteriores à 5.58.2, atualize para a versão 5.58.2 ou posterior.
Para versões do org.apache.marmotta.webjars:codemirror anteriores à 5.58.2, atualize para a versão 5.58.2 ou posterior.
Como solução temporária, considere desativar a expressão regular vulnerável no arquivo javascript.js até que um patch esteja disponível.

Exploit

Correção

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

BDU:2021-01732
CVE-2020-7760
DSA-4789-1
GHSA-4GW3-8F77-F72C
SNYK-JAVA-ORGAPACHEMARMOTTAWEBJARS-1024450
SNYK-JAVA-ORGWEBJARS-1024449
SNYK-JAVA-ORGWEBJARSBOWER-1024445
SNYK-JAVA-ORGWEBJARSBOWERGITHUBCODEMIRROR-1024448
SNYK-JAVA-ORGWEBJARSBOWERGITHUBCOMPONENTS-1024446
SNYK-JAVA-ORGWEBJARSNPM-1024447
SNYK-JS-CODEMIRROR-1016937

Produtos afetados

Codemirror
Org.Apache.Marmotta.Webjars:Codemirror