PT-2021-5826 · Ruby On Rails+4 · Active Record+4

Dee-See

·

Publicado

2021-02-11

·

Atualizado

2025-09-29

·

CVE-2021-22880

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Active Record anteriores à 6.1.2.1
Versões do Active Record anteriores à 6.0.3.5
Versões do Active Record anteriores à 5.2.4.5
Descrição
O adaptador PostgreSQL no Active Record apresenta uma vulnerabilidade de negação de serviço por expressão regular (REDoS). Entradas cuidadosamente elaboradas podem fazer com que a validação de entrada no tipo money do adaptador PostgreSQL no Active Record gaste tempo excessivo em uma expressão regular, resultando no potencial para um ataque DoS. Isso afeta apenas aplicações Rails que utilizam PostgreSQL juntamente com colunas do tipo money que aceitam entradas do usuário.
Recomendações
Para versões anteriores à 6.1.2.1, atualize para a versão 6.1.2.1 ou posterior.
Para versões anteriores à 6.0.3.5, atualize para a versão 6.0.3.5 ou posterior.
Para versões anteriores à 5.2.4.5, atualize para a versão 5.2.4.5 ou posterior.
Como solução alternativa temporária, considere restringir o uso do tipo money no adaptador PostgreSQL para minimizar o risco de exploração.

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2021-2595
ALT-PU-2023-4268
ALT-PU-2024-7814
BDU:2022-00323
CVE-2021-22880
DSA-4929-1
GHSA-8HC4-XXM3-5PPP
OPENSUSE-SU-2021:1468-1
OPENSUSE-SU-2021:3634-1
OPENSUSE-SU-2021_1468-1
OPENSUSE-SU-2021_3634-1
OPENSUSE-SU-2024:11326-1
OPENSUSE-SU-2024:11327-1
OPENSUSE-SU-2024:11826-1
SUSE-SU-2021:3267-1
SUSE-SU-2021:3634-1
SUSE-SU-2021_3634-1

Produtos afetados

Alt Linux
Active Record
Astra Linux
Postgresql
Suse