PT-2021-15447 · Unknown+5 · Parse-Path+5

Yeting Li

·

Publicado

2021-05-04

·

Atualizado

2022-05-17

·

CVE-2021-23343

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
todas as versões do path-parse
Descrição
O problema está relacionado a um ataque de negação de serviço por expressões regulares (ReDoS) por meio das expressões regulares splitDeviceRe, splitTailRe e splitPathRe. O ReDoS apresenta complexidade temporal polinomial no pior caso.
Recomendações
Para todas as versões, considere desativar o uso das expressões regulares splitDeviceRe, splitTailRe e splitPathRe como uma solução temporária até que um patch esteja disponível. Restrinja o uso dessas expressões regulares para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

ALSA-2021:3623
ALSA-2021:3666
CESA-2021_3623
CESA-2021_3666
CVE-2021-23343
GHSA-HJ48-42VR-X3V9
OESA-2021-1262
OPENSUSE-SU-2022:0657-1
OPENSUSE-SU-2022:0704-1
OPENSUSE-SU-2022:0715-1
OPENSUSE-SU-2022_0657-1
OPENSUSE-SU-2022_0704-1
OPENSUSE-SU-2022_0715-1
OPENSUSE-SU-2022_1717-1
RHSA-2021:2865
RHSA-2021:3280
RHSA-2021:3281
RHSA-2021:3623
RHSA-2021:3638
RHSA-2021:3639
RHSA-2021:3666
RHSA-2021_3623
RHSA-2021_3666
RLSA-2021:3623
RLSA-2021:3666
SNYK-JAVA-ORGWEBJARSNPM-1279028
SNYK-JS-PATHPARSE-1077067
SUSE-SU-2022:0531-1
SUSE-SU-2022:0563-1
SUSE-SU-2022:0569-1
SUSE-SU-2022:0570-1
SUSE-SU-2022:0657-1
SUSE-SU-2022:0704-1
SUSE-SU-2022:0715-1
SUSE-SU-2022:1717-1
SUSE-SU-2022_0531-1
SUSE-SU-2022_0563-1
SUSE-SU-2022_0569-1
SUSE-SU-2022_0570-1
SUSE-SU-2022_0657-1
SUSE-SU-2022_0704-1
SUSE-SU-2022_0715-1
SUSE-SU-2022_1717-1

Produtos afetados

Almalinux
Centos
Red Hat
Rocky Linux
Suse
Parse-Path