CVE-2021-43854

**Nome do software vulnerável e versões afetadas:

Versões do NLTK anteriores à 3.6.5

Descrição:

O problema está relacionado a ataques de negação de serviço por expressão regular (ReDoS), que podem causar um aumento significativo no tempo de execução quando uma entrada longa criada especificamente é fornecida a funções vulneráveis. A vulnerabilidade está presente em PunktSentenceTokenizer, sent tokenize e word tokenize. Qualquer usuário dessa classe ou dessas duas funções está vulnerável ao ataque ReDoS. Se um programa depende de qualquer uma das funções vulneráveis para tokenizar entradas imprevisíveis do usuário, é altamente recomendável atualizar para uma versão do NLTK sem a vulnerabilidade.

Recomendações:

Para versões anteriores à 3.6.5, atualize para o NLTK 3.6.6 ou posterior para resolver o problema.

Como solução alternativa temporária para usuários que não possam atualizar, limite o comprimento máximo de uma entrada para qualquer uma das funções vulneráveis a fim de restringir o tempo de execução.