CVE-2021-43805

**Nome do software vulnerável e versões afetadas:

Versões do Solidus anteriores à 3.1.4

Versões do Solidus anteriores à 3.0.4

Versões do Solidus anteriores à 2.11.13

Descrição:

O problema é uma vulnerabilidade de negação de serviço que pode ser explorada durante o checkout de um cliente convidado. Ela é causada por backtracking exponencial na expressão regular usada para validar o e-mail de um pedido de cliente convidado, o que pode ocorrer com endereços de e-mail contendo fragmentos como a.a.. Isso pode levar ao esgotamento dos recursos do servidor se a sequência do e-mail for suficientemente longa. Os mantenedores adicionaram uma tarefa para verificar pedidos com endereços de e-mail inválidos.

Recomendações:

Para versões anteriores à 3.1.4, atualize para a versão 3.1.4 ou posterior.

Para versões anteriores à 3.0.4, atualize para a versão 3.0.4 ou posterior.

Para versões anteriores à 2.11.13, atualize para a versão 2.11.13 ou posterior.

Como solução temporária, edite manualmente o arquivo config/application.rb, adicionando o código fornecido para verificar a validade do e-mail. Execute a tarefa bin/rails solidus:check orders with invalid email para exibir informações sobre quaisquer pedidos afetados.