PT-2021-23141 · Unknown · Modern-Async
Nicolas-Van
·
Publicado
2021-10-20
·
Atualizado
2022-08-12
·
CVE-2021-41167
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões da biblioteca modern-async anteriores à 1.0.4
Descrição
O problema afeta duas funções na biblioteca modern-async:
forEachSeries e forEachLimit. Essas funções deveriam limitar a concorrência de determinadas ações, mas não o fazem. Como resultado, qualquer código que chame essas funções pode ser escrito com a expectativa de concorrência limitada, mas essa expectativa não será atendida. Isso pode potencialmente levar a problemas de segurança em outros projetos.Recomendações
Para versões anteriores à 1.0.4, atualize para a versão 1.0.4 para resolver o problema.
Como solução temporária, considere evitar o uso das funções
forEachSeries e forEachLimit até que o problema seja resolvido.Exploit
Correção
Allocation of Resources Without Limits
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Modern-Async