CVE-2021-21236

**Nome do software vulnerável e versões afetadas:

Versões do CairoSVG anteriores à 2.5.1

Descrição:

O problema está relacionado a uma vulnerabilidade de negação de serviço por expressão regular (REDoS) no CairoSVG, um pacote Python utilizado para converter arquivos SVG. Ao processar arquivos SVG, o CairoSVG utiliza duas expressões regulares que são vulneráveis a ataques de negação de serviço por expressão regular (REDoS). Se um invasor fornecer um SVG malicioso, isso pode fazer com que o CairoSVG fique travado no processamento do arquivo por um período muito longo. A vulnerabilidade é causada pela complexidade das expressões regulares, que pode levar a um retrocesso catastrófico ao processar uma longa sequência de espaços. A complexidade é cúbica, o que significa que dobrar o comprimento da sequência maliciosa de espaços faz com que o processamento demore 8 vezes mais.

Recomendações:

Para versões anteriores à 2.5.1, atualize para a versão 2.5.1 ou posterior para corrigir a vulnerabilidade de negação de serviço por expressão regular (REDoS). Como solução temporária, considere evitar o uso das expressões regulares vulneráveis no arquivo colors.py até que um patch esteja disponível. Restrinja o acesso ao pacote cairosvg para minimizar o risco de exploração. Evite usar arquivos SVG maliciosos que possam fazer com que o pacote fique preso no processamento do arquivo por um tempo muito longo.