PT-2021-4017 · Prism · Prism
Publicado
2021-06-28
·
Atualizado
2022-03-28
·
CVE-2021-32723
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Prism anteriores à 1.24.0
Descrição
O problema está relacionado a um ataque de negação de serviço por expressões regulares (ReDoS) em algumas linguagens quando o Prism é usado para destacar texto não confiável. Um invasor pode criar uma sequência de caracteres que levará muito tempo para ser destacada, causando potencialmente uma negação de serviço. Esse problema pode ser explorado quando o Prism é usado para destacar texto fornecido pelo usuário. Como solução alternativa, recomenda-se não usar ASCIIDoc ou ERB para destacar texto não confiável, já que outras linguagens não são afetadas e podem ser usadas com segurança.
Recomendações
Para versões anteriores à 1.24.0, atualize para o Prism v1.24 para corrigir o problema.
Como solução temporária, considere não usar ASCIIDoc ou ERB para destacar texto não confiável até que o problema seja resolvido.
Restrinja o uso das linguagens afetadas para minimizar o risco de exploração.
Correção
DoS
Improper Resource Release
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Prism