PT-2021-10792 · Etherpad · Etherpad
Publicado
2021-04-28
·
Atualizado
2021-05-05
·
CVE-2020-22785
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Etherpad anteriores à 1.8.3
Descrição
O problema está relacionado à ausência de uma verificação de bloqueio, o que poderia causar uma negação de serviço. Um ataque que visasse agressivamente pontos de extremidade de importação de blocos aleatórios com dados vazios poderia danificar todos os blocos devido à falta de limitação de taxa e à ausência de uma verificação de propriedade.
Recomendações
Para versões anteriores à 1.8.3, atualize para a versão 1.8.3 ou posterior para resolver o problema. Como solução temporária, considere implementar limitação de taxa nos pontos de extremidade de importação de pads para minimizar o risco de exploração. Restrinja o acesso aos pontos de extremidade de importação de pads para impedir ataques agressivos com dados vazios.
Exploit
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Etherpad