PT-2021-19912 · Unknown · Openproject
Oliverguenther
·
Publicado
2021-07-20
·
Atualizado
2024-03-06
·
CVE-2021-32763
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do OpenProject anteriores à 11.3.3
Descrição
O problema diz respeito à classe
MessagesController no OpenProject, especificamente ao método quote, que é utilizado para o botão “Citar” nos fóruns de discussão. Esse método utiliza uma expressão regular para remover as tags <pre> das mensagens citadas. No entanto, a expressão regular pode ser explorada para causar uma negação de serviço por expressão regular devido ao seu comportamento de retrocesso ao encontrar uma tag <pre> não terminada com um grande número de espaços.Recomendações
Para versões anteriores à 11.3.3, atualize para o OpenProject 11.3.3 para resolver o problema.
Como solução alternativa temporária, pode-se instalar o patch manualmente.
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openproject