PT-2021-3194 · Unknown · Ua-Parser-Js
Ben Caller
·
Publicado
2021-03-17
·
Atualizado
2021-05-25
·
CVE-2021-27292
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões 0.7.14 a 0.7.23 do ua-parser-js
Descrição
O problema está relacionado a uma vulnerabilidade de consumo descontrolado de recursos na biblioteca ua-parser-js. Ela pode ser explorada por um invasor remoto para causar uma negação de serviço. A vulnerabilidade decorre de uma expressão regular que é vulnerável a ataques de negação de serviço. Se um invasor enviar um cabeçalho User-Agent malicioso, a biblioteca ficará travada processando-o por um longo período.
Recomendações
Para as versões 0.7.14 a 0.7.23, atualize para a versão 0.7.24 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao cabeçalho
User-Agent para minimizar o risco de exploração.Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ua-Parser-Js