PT-2021-23690 · Gjson+1 · Gjson+1
Cmdrgho
·
Publicado
2021-10-22
·
Atualizado
2022-08-15
·
CVE-2021-42836
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do GJSON anteriores à 1.9.3
Descrição
A vulnerabilidade permite um ataque ReDoS (negação de serviço por expressão regular). O GJSON é um pacote Go que oferece uma maneira rápida e simples de extrair valores de um documento JSON. Um caminho maliciosamente criado pode fazer com que as funções Get e outras funções de consulta consumam quantidades excessivas de CPU e tempo.
Recomendações
Para versões anteriores à 1.9.3, atualize para a versão 1.9.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de entradas JSON criadas de forma maliciosa para minimizar o risco de exploração. Evite usar caminhos criados de forma maliciosa nas funções Get e outras funções de consulta até que o problema seja resolvido.
Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Gjson