PT-2021-22479 · Ifttt+1 · Ifttt+1
Rasmus Petersen
·
Publicado
2021-09-20
·
Atualizado
2021-10-04
·
CVE-2021-39229
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Apprise anteriores à 0.9.5.1
Descrição
O problema afeta usuários do Apprise que concederam acesso ao plugin IFTTT, tornando-os suscetíveis a um ataque de negação de serviço devido a uma expressão regular ineficiente. A expressão regular vulnerável está localizada no arquivo NotifyIFTTT.py. Este problema foi corrigido na versão 0.9.5.1.
Recomendações
Para versões anteriores à 0.9.5.1, atualize para o Apprise v0.9.5.1 executando
pip install apprise==0.9.5.1.Como solução alternativa temporária para usuários que não conseguem atualizar, considere remover o arquivo
apprise/plugins/NotifyIFTTT.py para eliminar o serviço vulnerável, embora isso desative a funcionalidade de notificação do IFTTT.Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apprise
Ifttt