PT-2021-3609 · Pypi+9 · Pygments+9

Ben Caller

·

Publicado

2021-01-03

·

Atualizado

2023-08-14

·

CVE-2021-27291

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Pygments de 1.1 a 2.7.3
Descrição
O problema está relacionado ao uso de expressões regulares no programa de realce de sintaxe Pygments. Algumas dessas expressões regulares apresentam complexidade exponencial ou cúbica no pior dos casos e são vulneráveis a ataques ReDoS. Ao criar entradas maliciosas, um invasor pode causar uma negação de serviço.
Recomendações
Para as versões 1.1 a 2.7.3 do Pygments, atualize para a versão 2.7.4 para resolver o problema.
Como solução alternativa temporária, considere restringir a entrada nos lexers para minimizar o risco de exploração.

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1333CWE-400

Identificadores relacionados

ALSA-2021:4139
ALSA-2021:4150
ALSA-2021:4151
ALT-PU-2021-1669
ALT-PU-2021-1712
ALT-PU-2021-2091
AZL-35138
AZL-6812
BDU:2021-03741
CESA-2021_4139
CESA-2021_4150
CESA-2021_4151
CVE-2021-27291
DLA-2600-1
DLA-2648-1
DLA-2648-2
DSA-4878-1
DSA-4889-1
GHSA-PQ64-V7F5-GQH8
MGASA-2021-0218
MGASA-2021-0245
OESA-2021-1154
OPENSUSE-SU-2021:1521-1
OPENSUSE-SU-2021:3839-1
OPENSUSE-SU-2021:3841-1
OPENSUSE-SU-2021_1521-1
OPENSUSE-SU-2021_3839-1
OPENSUSE-SU-2021_3841-1
PYSEC-2021-141
RHSA-2021:0781
RHSA-2021:3252
RHSA-2021:4139
RHSA-2021:4150
RHSA-2021:4151
RHSA-2021_4139
RHSA-2021_4150
RHSA-2021_4151
RLSA-2021:4139
RLSA-2021:4150
RLSA-2021:4151
SUSE-SU-2021:3814-1
SUSE-SU-2021:3839-1
SUSE-SU-2021:3840-1
SUSE-SU-2021:3841-1
SUSE-SU-2021_3814-1
SUSE-SU-2021_3839-1
SUSE-SU-2021_3840-1
SUSE-SU-2021_3841-1
USN-4897-1
USN-4897-2

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Pygments
Red Hat
Rocky Linux
Suse
Ubuntu